CISA:注意这三个工控系统软件中的严重漏洞
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
美国网络安全和基础设施安全局 (CISA) 发布三分工控系统安全公告,提到ETIC 电信、诺基亚和Delta Industrial Automation中存在多个漏洞。
其中最引人注目的是ETIC电信公司的远程访问服务器 (RAS) 受三个漏洞影响,“可导致攻击者获取敏感信息,攻陷易受攻击设备和其它联网机器”。这些漏洞是:
CVE-2022-3703(CVSS评分9.0):该严重漏洞因RAS 网络门户无法验证固件的真实性引发,使恶意包可能被攻击者插入,从而获得后门访问权限。
CVE-2022-41607(CVSS 评分8.6):该严重漏洞是位于RAS API 中的一个目录遍历漏洞。
CVE-2022-40981(CVSS评分8.3):该漏洞可被用于读取任意文件和上传恶意文件,从而攻陷设备。
以色列工业网络安全公司 OTORIO 发现并报告了这些漏洞。所有ETIC 电信RAS 4.5.0和之前版本均受影响。该漏洞已在版本4.7.3中修复。
第二份安全公告关于诺基亚ASIK AirScale 5G Common System Module 中的三个漏洞(CVE-2022-2482、CVE-2022-2483和CVE-2022-2484),可导致任意代码执行和安全引导程序功能不当。所有漏洞的CVSS评分均为8.4。CISA提到,“这些漏洞如遭利用,可导致恶意内核执行、任意恶意程序运行或者遭修改的诺基亚程序运行”。据报道,诺基亚已发布缓解措施。这些漏洞影响 ASIK 版本474021A.101和ASIK47402A.102。CISA建议用户直接联系厂商获取更多信息。
第三份报告和路径遍历漏洞CVE-2022-2969有关,CVSS评分6.9,影响 Delta Industrial Automation 公司的 DIALink 产品,可被用于在目标设备上植入恶意代码。该漏洞已在 1.5.0.0 Beta 4中修复。CISA表示可直接通过厂商获取或者通过Delta现场应用工程 (FAEs)获取。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
CISA:注意影响Advantech 和日立工业设备的多个严重漏洞
CISA要求联邦机构定期追踪网络资产和漏洞情况
研究员披露影响10家OT厂商工控设备的56个漏洞OT:ICEFALL
工控2月补丁星期二:西门子、施耐德电气修复近50个漏洞
很多工控产品都在用的 CODESYS 软件中被曝10个严重漏洞
原文链接
https://thehackernews.com/2022/11/cisa-warns-of-critical-vulnerabilities.html
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
CISA:注意这三个工控系统软件中的严重漏洞相关推荐
- CISA 督促VMware 管理员修复Workspace ONE UEM 中的严重漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 CISA 要求 VMware 管理员和用户修复 Workspace ONE UEM 控制台中的严重漏洞,它可遭威胁者滥用,获得对敏感信息的访问权 ...
- Office Visio软件在工控原理图中的应用
1.序言 Office Visio 是Office软件系列中的负责绘制流程图和示意图的软件,是一款便于IT和商务人员就复杂信息.系统和流程进行可视化处理.分析和交流的软件.使用 Office Visi ...
- 设备加密狗在工控安全中能起到什么作用?
第一章 加密芯片普遍应用 近年来,计算机以及互联网应用在中国得到普及和发展,已经深入到社会每个角落,政府,经济,军事,社会,文化和人们生活等各方面都越来越依赖于计算机和网络,电子政务,无纸办公.MIS ...
- 分享一个按键液晶多级菜单设计方法,工控行业中沿用多年,屡试不爽,附带本人一个调试通过
转自:https://www.amobbs.com/forum.php?mod=viewthread&tid=4001689 typedef struct { uchar KeyStateIn ...
- 计算机系统软件抗干扰,工控计算机软件抗干扰技术
0 引言 工业现场各种动力设备在不断地启停运行.使得现场环境恶劣,电磁干扰严重.工业控制计算机在这样的环境里面临着巨大的考验.可以说我们研制的工业控制系统能否正常运行,并且产生出应有的经济效益,其抗干 ...
- 工控系统的指纹识别技术
当前,指纹识别技术已被或坏或好的广泛应用于ICT系统.攻击者通过扫描网络获取设备指纹来关联漏洞入侵系统,安全防护者则利用设备指纹来发现系统的脆弱性,检测系统的网络异常.在工业控制系统(ICS)中,指纹 ...
- modbus从站模拟软件_作为工控电气人,你知道我们必备的软件有哪些吗?
作为工控电气人,你知道我们必备的软件有哪些吗?今天我就来给大家介绍一下,工控电气人常用的几款软件,有了它们,我们的工作学习将会更易上手,效率翻倍.以下介绍主要是分为电工常用软件,PLC编程软件,工控辅 ...
- 工控网络安全防护分析与建议
随着工业信息化的快速发展,工业化与信息化的融合越来越深入,两者的融合能提高生产效率.提高生产安全性.降低生产成本.工控系统很多采用了传统网络中的通信协议和软硬件系统,或以特定的方式直接连接到传统的网络 ...
- 一种针对工控系统攻击的远程检测方案(工控系统安全)
SHADOWPLCS: A Novel Scheme for Remote Detection of Industrial Process Control Attacks 本文系原创,转载请说明出处 ...
最新文章
- PHP语法(3.)环境变量
- 也许这就是一种技术成就梦想的理解吧
- QDoc包括图片includingimages
- 大话数据结构18:最小生成树算法
- MFC多线程各种线程用法 .
- PureMvc学习笔记
- gui显示文本动态框
- 超干货 | 这些概念可是操作系统的灵魂,你弄懂了几个?
- Intel® Nehalem/Westmere架构/微架构/流水线 (7) - 存储转发增强
- 不在gopath目录下能使用godoc吗_一文搞懂 Go Modules 前世今生及入门使用
- matlab中的count函数,Excel 中COUNT函数的使用详解,详情介绍
- Python入门——运行python的两种方式变量常量
- Linux 管道通信 客户端与服务器通信
- Alert提示框插件
- android手机计步器开发,超精准的Android手机计步器开发
- iOS之 simlator模拟器截屏
- android 人物行走动画,android 3D 游戏实现之人物行走(MD2)
- 小米watch s2功能介绍 小米watch s2测评值得买吗
- datasets: mnist
- 客厅装修应注意空间的布局