点击上方蓝字关注我们测评你的薪资
这些漏洞利用的难度不低,考虑到这些的漏洞极大风险——可能导致工厂停工和切断电力,专家强烈建议尽快修补漏洞。
近日,微软安全专家透露,德国工业软件巨头欧德神思(Codesys)的系统中存在15个高危安全漏洞,可导致电厂关停或重要关基系统信息被窃取。2022年9月,微软情报威胁专家Vladimir Tokarev向Codesys报告了Codesys Control V3 3.5.19.0 之前版本存在的安全漏洞。2023年4月Codesys发布了相关漏洞的补丁。
总部位于德国的德国工业软件巨头欧德神思(Codesys)提供工控系统的自动化软件,广泛存在于大量设备中——500 多家制造商生产的大约 1,000 种不同类型的产品。
这15个安全漏洞的编号为CVE-2022-47379到CVE-2022-47393,均属于高危评级,其中多数评分为8.8/10,可被用于拒绝服务 (DoS) 攻击或远程代码执行 (RCE)。其中的12个漏洞为缓存溢出漏洞,可用于对PLC实现远程代码执行。但需要攻击者可以绕开身份验证,以及绕过数据执行保护(DEP)和地址空间配置随机加载(ASLR)措施。
安全专家认为,这些漏洞利用的难度不低,攻击者不仅需要需要绕过身份认证或窃取登录凭证,还需要深入了解 Codesys V3 的专有协议和协议使用的不同服务的架构。但考虑到这些的漏洞极大风险——可能导致工厂停工和切断电力,专家强烈建议尽快修补漏洞。
微软公司在博客中发布了相关漏洞的列表:
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安圈评立场,转载目的在于传递更多信息。如有侵权,请联系下方微信
安圈评现有人才资源群,有公司招聘和人员求职
高端人才共享群:①②③④
区域人才共享群:华南、华中、华东、西南、西北、东北、京津冀①②
进群请扫下方二维码 (备注公司全称+姓名)
如需发布公司招聘信息,请联系微信
找工作的小伙伴也可以联系我们哦(求职信息会在保护个人信息的前提下发布)
往期推荐
点个在看你最好看
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...