ABB公司产品漏洞报告4篇,15个漏洞为哪般? – 作者:北京天地和兴科技有限公司

  摘要

  6月2日CISA发布了4则安全公告,披露了ABB公司产品的15个漏洞。CISA安全公告编号分别为ICSA-20-154-01(2个)、ICSA-20-154-02(1个)、ICSA-20-154-03(7个)、ICSA-20-154-04(5个)。这批漏洞首先由工业网络安全公司Applied Risk的William Knowles发现并向ABB通报。其中的权限、特权和访问控制漏洞(CVE-2020-8476)、对XML外部实体参考的不当限制(CVE-2020-8479)和ICSA-20-154-03中的7个漏洞官方目前还没有补丁发布。这15个漏洞分别影响着很多ABB的设备,它们可以通过身份验证的攻击完全控制计算机,从许可证服务器和/或网络读取或调用任意文件。研究人员认为理论上从互联网上利用这些漏洞是可能的,但通常情况下这类设备无法访问互联网,即使攻击者不需要额外的工作就可以入侵相关的DCS系统,可能造成系统关闭,或修改一些操作行为,无法造成像爆炸这样的极端后果。

  1.背景介绍

  荷兰工业网络安全公司Applied Risk的研究员William Knowles今年4月份发现并向ABB通报了总共15个漏洞。美国CISA于6月2日发布四个安全公告,正式披露这批漏洞。CISA的安全公告编号分别是ICSA-20-154-01(2个)、ICSA-20-154-02(1个)、ICSA-20-154-03(7个)、ICSA-20-154-04(5个)。其中的权限、特权和访问控制漏洞(CVE-2020-8476)、XML外部实体引用的不正确限制(CVE-2020-8479)和安全公告ICSA-20-154-03中的7个漏洞官方目前还没有补丁发布。攻击者如果成功利用最严重的漏洞(CVE-2020-8481)可以通过身份验证的攻击完全控制计算机。

  ABB是全球技术领导企业,致力于推动行业数字化转型升级。基于超过130年的创新历史,ABB以客户为中心,拥有全球领先的四大业务——电气、工业自动化、运动控制、机器人及离散自动化,以及ABB Ability™数字化平台。ABB与中国的关系可以追溯到1907年,当时ABB向中国提供了一台蒸汽锅炉。经过多年的快速发展,ABB在中国已拥有研发、制造、销售和工程服务等全方位的业务活动,44家本地企业、近2万名员工遍及130余个城市。ABB在中国累计投资额约170亿元***,在华超过90%的销售收入来源于本土制造的产品、系统和服务。目前,中国是ABB集团全球第二大市场。

  2.漏洞概述

  William Knowles发现的安全漏洞总共有15个,以下将以CISA安全报告分成4个进行说明:ICSA-20-154-01(包含CVE-2020-8472、CVE-2020-8473)、ICSA-20-154-02(包含CVE-2020-8474)、ICSA-20-154-03(包含CVE-2020-8478、CVE-2020-8484、CVE-2020-8485、CVE-2020-8486、CVE-2020-8487、CVE-2020-8488、CVE-2020-8489)、ICSA-20-154-04(包含CVE-2020-8481、CVE-2020-8479、CVE-2020-8476、CVE-2020-8475、CVE-2020-8471)。

  漏洞的基本信息

  表1.png

3.漏洞危害和防护建议

  详情请看PDF!

1.png2.png3.png4.png

  参考资源:

  [1] CyberSecurity Help:https://www.cybersecurity-help.cz/vdb/abb/

  [2]ABB官方文档:https://search.abb.com/library/Download.aspx?DocumentID= 2PAA121231&LanguageCode=en&DocumentPartId=&Action=Launch

  [3] CISA:https://www.us-cert.gov/ics/advisories/icsa-20-154-01

  [4] CISA:https://www.us-cert.gov/ics/advisories/icsa-20-154-02

  [5] CISA:https://www.us-cert.gov/ics/advisories/icsa-20-154-03

  [6] CISA:https://www.us-cert.gov/ics/advisories/icsa-20-154-04

  [7 CNNVD:http://www.cnnvd.org.cn/

来源:freebuf.com 2020-06-15 14:04:11 by: 北京天地和兴科技有限公司

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论