CX-Supervisor允許快速創建用於監視控制和數據採集(SCADA)系統的人機界面(HMIs),這得益於大量預定義功能和庫的可用性。該軟件廣泛應用於多個行業,主要是能源行業。
這些漏洞是通過Trend Micro的Zero Day Initiative (ZDI)報告的。來源煽動的安全專家埃斯特班·魯伊斯(Esteban Ruiz)。其中一個漏洞,被跟蹤為CVE-2018-19027,獲得了“高”嚴重級別。
CVE-2018-19027缺陷影響CX-One產品,該缺陷於2018-07-02報告給供應商,於20119-01-14公開披露。
該漏洞允許遠程攻擊者在OMRON CX-One cx協議的脆弱安裝上執行任意代碼。利用此漏洞需要用戶交互,因為目標必須訪問惡意頁面或打開惡意文件。ZDI發佈的諮詢報告稱。
具體的缺陷存在於PSW文件的處理中。這個問題是由於缺乏對用戶提供的數據的正確驗證,這可能會導致類型混淆。攻擊者可以利用這個漏洞在當前進程的上下文中執行代碼。
CX-Supervisor歐姆龍
ICS-CERT發佈了一份諮詢報告,其中包括專家發現的所有漏洞的詳細信息,所解決的問題包括無使用後、對用戶提供的輸入缺乏適當的驗證以及類型混淆問題,攻擊者可以利用這些問題在脆弱系統上執行任意代碼。
“錯誤中和命令中使用的特殊元素(‘命令注入’)CWE-77”允許和攻擊者通過使用專門製作的項目文件注入命令來刪除系統上的文件和/或文件的內容。利用這個漏洞,跟蹤CVE-2018-19013可以導致DoS條件,該問題已經收到CVSS v3 5.0的基本分數。
CX-Supervisor的3.5.0.11版本已經解決了這些漏洞。
ICS-CERT還建議升級開發項目並以新格式保存,然後以最新的3.5.0.11格式重新構建。
Pierluigi帕格尼尼
證券事務監察主任(證券事務監察主任)
閱讀更多 51安全 的文章