2023年04月03日
CISA 于 2023 年 3 月 21 日发布了八项工业控制系统 (ICS) 公告。这些公告及时提供了有关 ICS 的当前安全问题、漏洞和漏洞利用的信息。
ICSA-23-080-01 Keysight N6854A 地理定位服务器和 N6841A 射频传感器
ICSA-23-080-02 Delta Electronics InfraSuite 设备主机
ICSA-23-080-03西门子 RUGGEDCOM APE1808 产品系列
ICSA-23-080-04 SIPROTEC 5 设备的西门子 RADIUS 客户端
ICSA-23-080-05 VISAM VBASE自动化基地
ICSA-23-080-06罗克韦尔自动化 ThinManager
ICSA-23-080-07 Siemens SCALANCE 第三方
ICSA-21-343-01 Hitachi Energy GMS600、PWC600 和 Relion(更新 A)
包括 Delta Electronics 的实时设备监控软件 InfraSuite Device Master 中的 13 个安全漏洞。1.0.5 之前的所有版本都受这些问题的影响。
“成功利用这些漏洞可能允许未经身份验证的攻击者获得对文件和凭据的访问权限、提升权限并远程执行任意代码,”CISA表示。
排在首位的是CVE-2023-1133(CVSS 评分:9.8),这是一个严重缺陷,其原因是 InfraSuite Device Master 接受未经验证的 UDP 数据包并反序列化内容,从而允许未经身份验证的远程攻击者执行任意代码。
最严重的问题是跟踪为CVE-2023-28755(CVSS 分数:9.8)和CVE-2023-28756(CVSS 分数:7.5)的两个路径遍历缺陷,可能允许未经身份验证的远程攻击者将任意文件上传到目录ThinServer.exe 的安装位置。
更令人不安的是,对手可以将 CVE-2023-28755 武器化,用木马化版本覆盖现有的可执行文件,从而可能导致远程代码执行。
建议用户更新至版本 11.0.6、11.1.6、11.2.7、12.0.5、12.1.6 和 13.0.2 以减轻潜在威胁。ThinManager ThinServer 版本 6.x – 10.x 已停用,要求用户升级到受支持的版本。
作为解决方法,还建议将端口 2031/TCP 的远程访问限制为已知的瘦客户端和 ThinManager 服务器。
受影响的产品
罗克韦尔自动化报告此漏洞会影响以下版本的 ThinManager ThinServer,这是一种瘦客户端和远程桌面协议 (RDP) 服务器管理软件:
版本 11.0.0 到 11.0.4
版本 11.1.0 到 11.1.4
版本 11.2.0 到 11.2.5
版本 12.0.0 到 12.0.2
版本 12.1.0 到 12.1.3
版本 13.0.0
漏洞概述
基于堆的缓冲区溢出 CWE-122受影响的产品容易受到基于堆的缓冲区溢出的影响。攻击者可以发送特制的 TFTP 或 HTTPS 请求,导致基于堆的缓冲区溢出,从而导致 ThinServer 进程崩溃。这可能会将服务器暴露给任意远程代码执行。
CVE-2022-38742分配给此漏洞。已计算出 CVSS v3 基本分数为 8.1;CVSS 向量字符串是 ( AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H )
背景
关键基础设施行业:凯睿德制造
部署的国家/地区:全球
公司总部所在地:美国
研究员
rgod 与 Trend Micro Zero Day Initiative 合作,向罗克韦尔自动化和 CISA 报告了此漏洞。
缓解措施
罗克韦尔自动化建议用户将他们的产品更新到最新的补丁版本:
版本 11.0.0 到 11.0.4:更新到版本 11.00.05
版本 11.1.0 到 11.1.4:更新到版本 11.01.05
版本 11.2.0 到 11.2.5:更新到版本 11.02.06
版本 12.0.0 到 12.0.2:更新到版本 12.00.03版本 12.1.0 到 12.1.3:更新到版本 12.01.04
版本 13.0.0:更新至版本 13.00.01
罗克韦尔自动化建议无法更新到修补版本的用户阻止 ThinManager 管理的瘦客户端以外的端点对 ThinManager TFTP 和 HTTPS 端口的网络访问。
在 CISA警告罗克韦尔自动化 ThinManager ThinServer( CVE-2022-38742,CVSS 评分:8.1)中存在可能导致任意远程代码执行的高严重性缓冲区溢出漏洞后的六个多月,该漏洞才被披露。