侵權(quán)投訴
訂閱
糾錯
加入自媒體

半年3次!頂象再獲施耐德電氣公開致謝

2020-12-15 15:53
來源: 粵訊

在施耐德官網(wǎng)12月安全報告中,再次公開致謝頂象洞見安全實驗室發(fā)現(xiàn)并協(xié)助成功修復2個高危漏洞。這兩個漏洞涉及施耐德Modicon M340 Web服務(wù)器以及Modicon Premium、Modicon Quantum等系列PLC。受影響企業(yè)可至施耐德官網(wǎng)下載最新補丁。

編號為CVE-2020-7539的漏洞,CVSS3.0評分7.5分,屬于高危漏洞。基于該漏洞,攻擊者可以遠程發(fā)送攻擊數(shù)據(jù)包到HTTP服務(wù),直接導致施耐德PLC設(shè)備的控制器系統(tǒng)癱瘓,進入不可自動恢復的崩潰狀態(tài)。

半年3次!頂象再獲施耐德電氣公開致謝


編號為CVE-2020-7540漏洞,CVSS3.0評分為8.2分,同樣屬于高危漏洞;谠撀┒矗粽吣馨l(fā)送特殊HTTP,可對施耐德PLC設(shè)備下達未經(jīng)驗證的命令請求。

半年3次!頂象再獲施耐德電氣公開致謝


半年獲得3次施耐德公開致謝

這是頂象2020年第三次獲得施耐德致謝。

第一次致謝是2020年6月9日。施耐德電氣官網(wǎng)發(fā)布的安全公告中,致謝頂象洞見安全實驗室發(fā)現(xiàn)并協(xié)助成功修復Unity Loader和OS Loader全版本軟件的硬編碼漏洞(CVE-2020-7498)。

該漏洞影響莫迪康M580、M340、Momentum、Quantum和Premium 等型號PLC,CVSS 3.0評分為10,定級為“嚴重”;谠撀┒矗粽呖上蚴苡绊懙腜LC設(shè)備內(nèi)植入勒索軟件等惡意軟件;或者直接對PLC下達重啟指令,造成設(shè)備不能正常工作;甚至直接攻擊設(shè)備固件,造成設(shè)備報廢。

第二次致謝是2020年10月。施耐德電氣官網(wǎng)發(fā)布的安全報告中,再次致謝頂象洞見安全實驗室發(fā)現(xiàn)并協(xié)助成功修復2個漏洞。

這兩個漏洞分別是身份管理漏洞(編號CVE-2020-7533)和拒絕服務(wù)漏洞(編號CVE-2018-7857),涉及施耐德電氣旗下的多款型號工業(yè)PLC(可編程邏輯控制器),包括 M340、Quantum、Premium等系列PLC設(shè)備及部分型號的通信模塊。

身份管理漏洞被CVSS 3.0 評為10分;谠撀┒,攻擊者可以遠程獲得設(shè)備和系統(tǒng)的管理員權(quán)限,不僅能夠任意添加刪除修改用戶權(quán)限,更可以直接對PLC設(shè)備進行各種操控,甚至直接關(guān)停受影響的工控設(shè)備。

拒絕服務(wù)漏洞被CVSS 3.0 評為7.5分 ;谠撀┒矗粽呖梢赃h程發(fā)送匿名指令,遙控工控設(shè)備進入“不可恢復”的故障狀態(tài),甚至導致設(shè)備宕機癱瘓。

入選國家信息安全漏洞庫技術(shù)支撐單位

頂象及時發(fā)現(xiàn)并幫助施耐德修復漏洞,不僅提高了施耐德產(chǎn)品的安全性,更降低被攻擊的風險,充分體現(xiàn)了頂象安全研究團隊的技術(shù)實力。

12月14日,CNNVD(國家信息安全漏洞庫)發(fā)布“2020年度CNNVD新增技術(shù)支撐單位(第二批)”名單。在新增的8家單位CNNVD技術(shù)支撐單位中,頂象是唯一一家一級技術(shù)支撐單位。

就在本月初,頂象以連續(xù)數(shù)月占據(jù)CICSVD成員單位和非成員單位貢獻排行榜榜首,入選CICSVD(工業(yè)信息安全漏洞庫)技術(shù)支撐單位。

頂象洞見安全實驗室提供立體的風險感知和威脅預(yù)警服務(wù),長期專注于物聯(lián)網(wǎng)與工控安全攻防技術(shù)研究,致力于挑戰(zhàn)安全技術(shù)的極限和邊界,擁有業(yè)績創(chuàng)紀錄的漏洞挖掘能力。其自主研發(fā)的自動化漏洞挖掘系統(tǒng),能夠通過對二進制文件的反編譯,實現(xiàn)對反編譯代碼執(zhí)行符號執(zhí)行與污染跟蹤分析,結(jié)合自主AI的人工智能技術(shù),精準發(fā)現(xiàn)并快速定位系統(tǒng)中存在的包括內(nèi)存越界、溢出等各種類型安全漏洞,幫助企業(yè)先于攻擊者發(fā)現(xiàn)自身系統(tǒng)風險,提高產(chǎn)品安全防護能力。

聲明: 本文系OFweek根據(jù)授權(quán)轉(zhuǎn)載自其它媒體或授權(quán)刊載,目的在于信息傳遞,并不代表本站贊同其觀點和對其真實性負責,如有新聞稿件和圖片作品的內(nèi)容、版權(quán)以及其它問題的,請聯(lián)系我們。

發(fā)表評論

0條評論,0人參與

請輸入評論內(nèi)容...

請輸入評論/評論長度6~500個字

您提交的評論過于頻繁,請輸入驗證碼繼續(xù)

暫無評論

暫無評論

    安防 獵頭職位 更多
    文章糾錯
    x
    *文字標題:
    *糾錯內(nèi)容:
    聯(lián)系郵箱:
    *驗 證 碼:

    粵公網(wǎng)安備 44030502002758號