美CISA警告Fuji Electric Tellus Lite V-Simulator和V-Server Lite存在严重漏洞 – 作者:偶然路过的围观群众

美国网络安全和基础设施安全局（CISA）1月26日发布一则安全公告，警告工业企业日本电气设备公司Fuji Electric生产的SCADA/HMI产品存在多个高危漏洞。

Tellus Lite V-Simulator 4.0.10.0之前版本和V-Server Lite 4.0.10.0之前版本受到影响。

Tellus和V-Server SCADA/HMI用于远程监视和控制工厂中的设备，广泛用于关键制造行业。

该公告中包含的漏洞包括基于栈的缓冲区溢出、越界读取、越界写入、未初始化指针的访问以及基于堆的缓冲区溢出漏洞，攻击者可以利用这些漏洞在脆弱的应用程序上执行任意代码。攻击者可以通过诱使目标用户打开恶意项目文件来触发这些漏洞。

根据CISA发布的安全公告，成功利用这些漏洞，攻击者可以该应用程序的权限执行代码。

这些漏洞的编号为CVE-2021-22637，CVE-2021-22655，CVE-2021-22653，CVE-2021-22639和CVE-2021-22641，CVSS v3基准评分均为7.8。

发现漏洞的研究人员通过Zero Day Initiative（ZDI）向美国ICS-CERT报告了漏洞。根据ZDI发布的信息，这些漏洞皆源于对用户提交的数据缺少适当的验证，触发缓冲区溢出，最终导致执行任意代码。

由于该厂商未能在ZDI的120天期限内修复漏洞，在厂商发布补丁之前，这些漏洞已被公开披露。

作者：Pierluigi Paganini
来源：Security Affairs

来源：freebuf.com 2021-01-29 16:21:38 by: 偶然路过的围观群众