近日,美國網絡安全和基礎設施安全局(CISA)發布了八項工業控制系統 (ICS)公告,警告稱存在影響Delta Electronics和Rockwell Automation設備的嚴重缺陷。

這包括Delta Electronics 的實時設備監控軟件 InfraSuite Device Master 中的 13 個安全漏洞。1.0.5 之前的所有版本都受這些問題的影響。

“成功利用這些漏洞可能允許未經身份驗證的攻擊者獲得對文件和憑據的訪問權限、提升權限并遠程執行任意代碼。”CISA表示。

排在首位的是CVE-2023-1133(CVSS評分:9.8),這是一個嚴重缺陷,源于 InfraSuite Device Master 接受未經驗證的 UDP 數據包并反序列化內容,從而允許未經身份驗證的遠程攻擊者執行任意代碼。

CISA警告說,另外兩個反序列化缺陷CVE-2023-1139(CVSS評分:8.8)和CVE-2023-1145(CVSS評分:7.8)也可以被武器化以獲取遠程代碼執行。

Piotr Bazydlo 和一位匿名安全研究員發現了這些缺陷并向 CISA 報告。

另一組漏洞與羅克韋爾自動化的 ThinManager ThinServer 相關,影響以下版本的客戶端和遠程桌面協議 (RDP) 服務器管理軟件 :

  • 6.x – 10.x
  • 11.0.0 – 11.0.5
  • 11.1.0 – 11.1.5
  • 11.2.0 – 11.2.6
  • 12.0.0 – 12.0.4
  • 12.1.0 – 12.1.5
  • 13.0.0 – 13.0.1

最嚴重的問題是跟蹤為CVE-2023-28755(CVSS評分:9.8)和CVE-2023-28756(CVSS評分:7.5)的兩個路徑遍歷缺陷,可能允許未經身份驗證的遠程攻擊者將任意文件上傳到目錄ThinServer.exe 的安裝位置。

更令人不安的是,對手可以將CVE-2023-28755武器化,用木馬化版本覆蓋現有的可執行文件,從而可能導致遠程代碼執行。

“成功利用這些漏洞可能允許攻擊者在目標系統/設備上執行遠程代碼或使軟件崩潰。”CISA指出。

我們的建議

1、用戶更新至版本11.0.6、11.1.6、11.2.7、12.0.5、12.1.6和 13.0.2 以減輕潛在威脅。ThinManager ThinServer 版本 6.x – 10.x 已停用,要求用戶升級到受支持的版本

2、建議將端口 2031/TCP 的遠程訪問限制為已知的客戶端和 ThinManager 服務器。

在CISA警告Rockwell Automation ThinManager ThinServer(CVE-2022-38742,CVSS 評分:8.1)中存在可能導致任意遠程代碼執行的高嚴重性緩沖區溢出漏洞后的六個多月,該漏洞才被披露。

cisa 漏洞
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接