Trihedral为VTScada产品发布了一个更新,修复多个漏洞,包括甚至可被技术拙劣的黑客利用的高危漏洞。这些漏洞信息ICS-CERT还未公布,安全加曾经报道过 暗网发现漏洞7天后 美国家漏洞库NVD才收录漏洞信息 。
作为Trihedral的旗舰产品,VTScada是一款可为数据采集与监视控制系统提供人机交互界面(HMI)的软件套件。该产品应用于各个行业,主要在北美和欧洲。
安全研究人员Karn Ganeshen发现了影响VTScada 11.2.26之前版本的多个漏洞。Ganeshen告诉媒体,Shodan搜索表明运行VTScade的系统支持互联网访问,但他相信还有更多易于攻击的漏洞实例。
VTScada拒绝服务漏洞CVE-2017-6043
其中一个漏洞是拒绝服务漏洞(CVE-2017-6043,CVSS评分为7.5),它是因为VTScada客户端未能限制资源利用造成。
在网站上发布的安全公告中,Ganeshen表示,使用非特权账户的攻击者可通过在登录窗口的用户名字段中提交超大载荷(最多约80000个字符)造成过多的CPU和RAM使用(随机存取存储器)。Ganeshen说道
“在部署了成熟的应用程序(或在生产场景下的多个应用程序),如进行了操作/功能配置,内存/CPU使用情况显然高于测试中空白应用程序的使用情况。”
,“快速地重复提交如此大的用户名输入消耗可用的服务器内存资源,造成资源耗尽,并最终导致系统重启。”
VTScada信息泄露漏洞CVE-2017-6045
VTScada中另一个高危漏洞是信息泄露漏洞(CVE-2017-6045),未经授权的攻击者可利用该漏洞获取敏感配置数据。Ganeshen还向Trihedral报告了多个跨网站脚本(XSS)漏洞,攻击者可利用这些漏洞在目标用户的浏览器中执行任意JavaScript代码。这些安全漏洞(CVE-2016-2776)为中危漏洞。
Trihedral发布的VTScada 11.2.26中解决了这些漏洞。研究人员证实,资源耗尽漏洞已被适当修复。
周三,Tihedral在网站上发布了简短声明称,这些漏洞只影响“包含不安全网路连接并启用VTScade网路访问的系统”。Tihedral建议客户确保连接安全,并将产品更新至最新版本。
Ganeshen告诉媒体,他已提交其他两份VTScada漏洞报告,ICS-CERT很快会进行发布。
原文发布时间:2017年6月16日
本文由:securityWeek发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/ics-trihedral-vtscada-hmi
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
