工业控制系统存在可导致远程代码攻击的严重漏洞

实时自动化(RTA)499ES EtherNet/IP(ENIP)堆栈中存在一个严重漏洞,该漏洞可能会使工业控制系统受到远程攻击。

RTA的ENIP堆栈是广泛使用的工业自动化设备之一,被誉为“北美工厂I/O应用的标准”。

美国网络安全与基础设施局(CISA)在一份咨询报告中表示:“成功利用此漏洞可能造成拒绝服务,缓冲区溢出可能允许远程代码执行。”

到目前为止,尚未发现针对此漏洞的已知公开攻击。然而,“根据互联网连接设备的公共搜索引擎,目前有超过8000台与ENIP兼容的互联网设备。”

该漏洞编号为CVE-2020-25159,CVSS评分为9.8(满分10分),影响2.28之前版本的EtherNet/IP Adapter Source Code Stack

安全公司Claroty的研究员Sharon Brizinov上个月向CISA披露了这个堆栈溢出漏洞。

工业控制系统存在可导致远程代码攻击的严重漏洞

RTA似乎早在2012年就从软件中删除了可攻击代码,但许多供应商可能在2012年更新之前就购买了该堆栈的易受攻击版本,并将其集成到自己的固件,从而使多台设备处于危险之中。

研究人员表示:“在六家供应商的产品中,有11种设备运行了RTA的ENIP堆栈。”

该漏洞本身涉及对通用工业协议(CIP)中使用的路径解析机制的不正确检查(CIP是一种用于组织和共享工业设备中的数据的通信协议),使得攻击者能够打开具有较大连接路径大小(大于32)的CIP请求,并导致解析器写入内存地址超出固定长度缓冲区,从而可能会导致任意代码执行。

RTA在披露中表示:“RTA设备中的旧代码试图通过限制EtherNet / IP转发打开请求中使用的特定缓冲区的大小来减少RAM的使用。” “通过限制RAM,攻击者有可能试图使缓冲区溢出,并利用它来控制设备。”

Claroty的研究人员扫描了290个与ENIP兼容模块,其中来自6个不同供应商的11个设备被发现使用了RTA的ENIP堆栈。

Brizinov在分析中指出:“与先前的披露类似(例如Ripple20Urgent / 11),这是另一个易受攻击的第三方核心库使工业控制系统供应商的产品面临风险的案例。”

我们建议用户更新到ENIP堆栈的当前版本,以减轻该漏洞带来的影响。CISA还建议用户最大程度地减少所有控制系统设备的网络暴露,确保不能从网络访问这些设备。

CISA表示: “将控制系统网络和远程设备放在防火墙后面,并将它们与业务网络隔离开。当需要远程访问时,使用安全方法,例如虚拟专用网(VPN)。但是VPN可能存在漏洞,应将其更新为可用的最新版本。”

 

 

 

 

消息来源:The Hacker News ;封面来自网络;译者:芋泥啵啵奶茶。

本文由 HackerNews.cc 翻译整理。

转载请注明“转自 HackerNews.cc ” 

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论