施耐德PLC編程軟件曝高危漏洞 允許黑客發(fā)起遠(yuǎn)程網(wǎng)絡(luò)攻擊

時間:2018-05-31

來源:施耐德電氣(中國)有限公司

導(dǎo)語:全球能效管理領(lǐng)域的領(lǐng)導(dǎo)者施耐德電氣(Schneider Electric)在上周二針對存在于SoMachine Basic編程軟件中的一個高危漏洞發(fā)布了修復(fù)程序,該漏洞可以被遠(yuǎn)程利用以獲取敏感數(shù)據(jù)。

全球能效管理領(lǐng)域的領(lǐng)導(dǎo)者施耐德電氣(SchneiderElectric)在上周二針對存在于SoMachineBasic編程軟件中的一個高危漏洞發(fā)布了修復(fù)程序,該漏洞可以被遠(yuǎn)程利用以獲取敏感數(shù)據(jù)。

SoMachineBasic,也被稱為EcoStruxureMachineExpert,是一款輕量級的編程軟件,專為施耐德ModiconM221可編程邏輯控制器(ProgrammableLogicController,PLC)而設(shè)計,用于開發(fā)PLC的程序代碼。

工業(yè)網(wǎng)絡(luò)安全公司AppliedRisk的研究員GjokoKrstic最近發(fā)現(xiàn),SoMachineBasic1.6.0build61653和SoMachineBasic1.5.5SP1build60148,并且很有可能所有的早期版本都受一個XML外部實體注入(XXE)漏洞的影響,該漏洞可被利用來發(fā)起帶外數(shù)據(jù)(OutofBand,OOB)攻擊。

這個漏洞被追蹤為CVE-2018-7783,CVSSV3評分8.6,屬于一個高危漏洞。該漏洞可被未經(jīng)身份驗證的遠(yuǎn)程攻擊者利用來讀取目標(biāo)系統(tǒng)上的任意文件,而這些文件可能包含敏感信息,如密碼、用戶數(shù)據(jù)和有關(guān)系統(tǒng)的詳細(xì)信息。

Krstic指出,想要利用這個漏洞,攻擊者必須誘騙受害者以打開特制的SoMachineBasic項目或模板文件。另外,在某些情況下,這個漏洞也可能被利用來執(zhí)行任意代碼并導(dǎo)致目標(biāo)系統(tǒng)進入拒絕服務(wù)(DoS)狀態(tài)。

目前,施耐德電氣已經(jīng)通過發(fā)布SoMachineBasicv1.6SP1對這個漏洞進行了修復(fù),并建議用戶盡快下載修補程序或使用SchneiderElectric軟件更新工具進行更新。

中傳動網(wǎng)版權(quán)與免責(zé)聲明:

凡本網(wǎng)注明[來源:中國傳動網(wǎng)]的所有文字、圖片、音視和視頻文件,版權(quán)均為中國傳動網(wǎng)(www.surachana.com)獨家所有。如需轉(zhuǎn)載請與0755-82949061聯(lián)系。任何媒體、網(wǎng)站或個人轉(zhuǎn)載使用時須注明來源“中國傳動網(wǎng)”,違反者本網(wǎng)將追究其法律責(zé)任。

本網(wǎng)轉(zhuǎn)載并注明其他來源的稿件,均來自互聯(lián)網(wǎng)或業(yè)內(nèi)投稿人士,版權(quán)屬于原版權(quán)人。轉(zhuǎn)載請保留稿件來源及作者,禁止擅自篡改,違者自負(fù)版權(quán)法律責(zé)任。

如涉及作品內(nèi)容、版權(quán)等問題,請在作品發(fā)表之日起一周內(nèi)與本網(wǎng)聯(lián)系,否則視為放棄相關(guān)權(quán)利。

關(guān)注伺服與運動控制公眾號獲取更多資訊

關(guān)注直驅(qū)與傳動公眾號獲取更多資訊

關(guān)注中國傳動網(wǎng)公眾號獲取更多資訊

最新新聞
查看更多資訊

熱搜詞
  • 運動控制
  • 伺服系統(tǒng)
  • 機器視覺
  • 機械傳動
  • 編碼器
  • 直驅(qū)系統(tǒng)
  • 工業(yè)電源
  • 電力電子
  • 工業(yè)互聯(lián)
  • 高壓變頻器
  • 中低壓變頻器
  • 傳感器
  • 人機界面
  • PLC
  • 電氣聯(lián)接
  • 工業(yè)機器人
  • 低壓電器
  • 機柜
回頂部
點贊 0
取消 0