摘要
6月2日CISA发布了4则安全公告,披露了ABB公司产品的15个漏洞。CISA安全公告编号分别为ICSA-20-154-01(2个)、ICSA-20-154-02(1个)、ICSA-20-154-03(7个)、ICSA-20-154-04(5个)。这批漏洞首先由工业网络安全公司Applied Risk的William Knowles发现并向ABB通报。其中的权限、特权和访问控制漏洞(CVE-2020-8476)、对XML外部实体参考的不当限制(CVE-2020-8479)和ICSA-20-154-03中的7个漏洞官方目前还没有补丁发布。这15个漏洞分别影响着很多ABB的设备,它们可以通过身份验证的攻击完全控制计算机,从许可证服务器和/或网络读取或调用任意文件。研究人员认为理论上从互联网上利用这些漏洞是可能的,但通常情况下这类设备无法访问互联网,即使攻击者不需要额外的工作就可以入侵相关的DCS系统,可能造成系统关闭,或修改一些操作行为,无法造成像爆炸这样的极端后果。
1.背景介绍
荷兰工业网络安全公司Applied Risk的研究员William Knowles今年4月份发现并向ABB通报了总共15个漏洞。美国CISA于6月2日发布四个安全公告,正式披露这批漏洞。CISA的安全公告编号分别是ICSA-20-154-01(2个)、ICSA-20-154-02(1个)、ICSA-20-154-03(7个)、ICSA-20-154-04(5个)。其中的权限、特权和访问控制漏洞(CVE-2020-8476)、XML外部实体引用的不正确限制(CVE-2020-8479)和安全公告ICSA-20-154-03中的7个漏洞官方目前还没有补丁发布。攻击者如果成功利用最严重的漏洞(CVE-2020-8481)可以通过身份验证的攻击完全控制计算机。
ABB是全球技术领导企业,致力于推动行业数字化转型升级。基于超过130年的创新历史,ABB以客户为中心,拥有全球领先的四大业务——电气、工业自动化、运动控制、机器人及离散自动化,以及ABB Ability™数字化平台。ABB与中国的关系可以追溯到1907年,当时ABB向中国提供了一台蒸汽锅炉。经过多年的快速发展,ABB在中国已拥有研发、制造、销售和工程服务等全方位的业务活动,44家本地企业、近2万名员工遍及130余个城市。ABB在中国累计投资额约170亿元***,在华超过90%的销售收入来源于本土制造的产品、系统和服务。目前,中国是ABB集团全球第二大市场。
2.漏洞概述
William Knowles发现的安全漏洞总共有15个,以下将以CISA安全报告分成4个进行说明:ICSA-20-154-01(包含CVE-2020-8472、CVE-2020-8473)、ICSA-20-154-02(包含CVE-2020-8474)、ICSA-20-154-03(包含CVE-2020-8478、CVE-2020-8484、CVE-2020-8485、CVE-2020-8486、CVE-2020-8487、CVE-2020-8488、CVE-2020-8489)、ICSA-20-154-04(包含CVE-2020-8481、CVE-2020-8479、CVE-2020-8476、CVE-2020-8475、CVE-2020-8471)。
漏洞的基本信息
3.漏洞危害和防护建议
详情请看PDF!
参考资源:
[1] CyberSecurity Help:https://www.cybersecurity-help.cz/vdb/abb/
[2]ABB官方文档:https://search.abb.com/library/Download.aspx?DocumentID= 2PAA121231&LanguageCode=en&DocumentPartId=&Action=Launch
[3] CISA:https://www.us-cert.gov/ics/advisories/icsa-20-154-01
[4] CISA:https://www.us-cert.gov/ics/advisories/icsa-20-154-02
[5] CISA:https://www.us-cert.gov/ics/advisories/icsa-20-154-03
[6] CISA:https://www.us-cert.gov/ics/advisories/icsa-20-154-04
[7 CNNVD:http://www.cnnvd.org.cn/
来源:freebuf.com 2020-06-15 14:04:11 by: 北京天地和兴科技有限公司
请登录后发表评论
注册