施耐德官網(wǎng)10月安全報告中，再次公開致謝頂象洞見安全實驗室發(fā)現(xiàn)并協(xié)助成功修復(fù)2個漏洞。這兩個漏洞涉及施耐德電氣旗下的多款型號工業(yè)PLC(可編程邏輯控制器)，包括 M340、Quantum、Premium等系列PLC設(shè)備及部分型號的通信模塊。目前，兩個漏洞均已修復(fù)，企業(yè)可至施耐德官網(wǎng)下載最新補(bǔ)丁。

圖1：身份管理漏洞漏洞(CVE-2020-7533)

圖2：拒絕服務(wù)漏洞(CVE-2018-7857)

　　其中一個漏洞是身份管理漏洞(編號CVE-2020-7533)，被CVSS評為10分?；谠撀┒?，攻擊者可以遠(yuǎn)程獲得設(shè)備和系統(tǒng)的管理員權(quán)限，不僅能夠任意添加刪除修改用戶權(quán)限，更可以直接對PLC設(shè)備進(jìn)行各種操控，甚至直接關(guān)停受影響的工控設(shè)備。

　　這是頂象洞見實驗室今年提交的第二個10分工業(yè)互聯(lián)網(wǎng)漏洞，早在6月份頂象洞見安全實驗室就發(fā)現(xiàn)并協(xié)助成功修復(fù)一個硬編碼憑證漏洞(CVE-2020-7498)，獲得施耐德的第一次公開致謝。

　　另一個漏洞是拒絕服務(wù)漏洞(編號CVE-2018-7857)，被CVSS評為7.5分 。

　　基于該漏洞，攻擊者可以遠(yuǎn)程發(fā)送匿名指令，遙控工控設(shè)備進(jìn)入“不可恢復(fù)”的故障狀態(tài)，甚至導(dǎo)致設(shè)備宕機(jī)癱瘓。

　　上半年國內(nèi)共發(fā)現(xiàn)四個CVSS 10分漏洞

　　通用的漏洞評估方法CVSS(Common Vulerability Scoring System)提供了一種捕獲漏洞主要特征并生成反映其嚴(yán)重性的數(shù)字評分的方法，由此幫助組織正確評估漏洞管理流程并確定漏洞修復(fù)優(yōu)先級。

　　根據(jù)CVSS分級標(biāo)準(zhǔn)，用0至10之間的數(shù)字評分。10分為最高分，表示該漏洞的嚴(yán)重程度最高，一旦被攻擊者利用，造成的損失也較大。

　　2020年1月至6月，CVSS (CVSS v3.0或CVSS v3.1)為10的工業(yè)互聯(lián)網(wǎng)安全高危漏洞有4個，其中包含頂象洞見安全實驗室6月份提交的硬編碼憑證漏洞(CVE-2020-7498)。

　　頂象洞見安全實驗室是頂象面向工控領(lǐng)域的一個安全實驗室，提供立體的風(fēng)險感知和威脅預(yù)警服務(wù)。其自主研發(fā)的IoT-Argus檢測系統(tǒng)，能夠?qū)η度胧焦碳到y(tǒng)進(jìn)行自動化安全掃描，及時發(fā)現(xiàn)存在和潛在的安全漏洞與隱患，并在30分鐘內(nèi)提供可視化分析報告，幫助企業(yè)時刻了解風(fēng)險發(fā)現(xiàn)威脅，提升安全保障能力。

　　9月份，頂象洞見安全實驗室發(fā)現(xiàn)西門子多款工業(yè)交換機(jī)存在高危漏洞;10月CICSVD國家工業(yè)信息安全漏洞庫排行榜，頂象4個月時間共有71個安全漏洞被CICSVD收錄，以40190的總積分穩(wěn)居CICSVD成員單位和非成員單位貢獻(xiàn)排行榜榜首;11月初，由工信部、人社部、中華全國總工會、共青團(tuán)中央等共同主辦的“2020年全國工業(yè)互聯(lián)網(wǎng)安全技術(shù)技能大賽”上，作為技術(shù)支撐單位的頂象洞見安全實驗室獲得“突出貢獻(xiàn)獎”。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。