一级a性色生活片久久无,国产91在线播放,中国性猛交XXXX富婆,亚洲夜夜性夜综合久久

高危!最新發(fā)現(xiàn)的西門子工業(yè)網絡軟件漏洞已影響多款產品

2022年10月14日

近日,西門子Simatic可編程邏輯控制器(PLC)的一個漏洞可被利用,以檢索硬編碼的全球私人加密密鑰并奪取設備的控制權。工業(yè)網絡安全公司Claroty在一份新報告中說:"攻擊者可以利用這些密鑰對西門子SIMATIC設備和相關的TIA門戶網站進行多種高級攻擊,同時繞過其所有四個訪問級別保護。一個惡意行為者可以利用這些秘密信息,以不可修復的方式損害整個SIMATIC S7-1200/1500產品系列"。

該關鍵漏洞的標識符為CVE-2022-38465,在CVSS評分表上被評為9.3分,西門子已在20221011日發(fā)布的安全更新中予以解決。

受影響的產品和版本列表如下:

Claroty表示,它通過利用之前披露的西門子PLCCVE-2020-15782)中的一個缺陷,能夠獲得控制器的讀寫權限,從而恢復私鑰。這樣做不僅允許攻擊者規(guī)避訪問控制和覆蓋本地代碼,而且還可以獲得對每個受影響的西門子產品系列的每個PLC的完全控制。

CVE-2022-38465反映了去年在羅克韋爾自動化PLC中發(fā)現(xiàn)的另一個嚴重缺陷(CVE-2021-22681),它可能使攻擊者遠程連接到控制器,并上傳惡意代碼,從PLC下載信息,或安裝新的固件。該漏洞在于Studio 5000 Logix Designer軟件可能允許發(fā)現(xiàn)秘密的加密密鑰。

作為變通和緩解措施,西門子建議客戶只在可信的網絡環(huán)境中使用傳統(tǒng)的PG/PCHMI通信,并確保對TIA PortalCPU的訪問安全,以防止未經授權的連接。

這家德國工業(yè)制造公司還采取了措施,在TIA Portal 17版本中用傳輸層安全(TLS)對工程站、PLCHMI面板之間的通信進行加密,同時警告說:"惡意行為者濫用全球私鑰的可能性在增加"

據悉,這些工業(yè)網絡使用的軟件中發(fā)現(xiàn)的一系列重大缺陷是最新發(fā)現(xiàn)。今年6月初,Claroty詳細介紹了西門子SINEC網絡管理系統(tǒng)(NMS)中的十幾個問題,這些問題可以被濫用以獲得遠程代碼執(zhí)行能力。

20224月,該公司解開了羅克韋爾自動化PLC的兩個漏洞(CVE-2022-1159CVE-2022-1161),可被利用來修改用戶程序和下載惡意代碼到控制器。

文章來源:E安全

 


江蘇國駿信息科技有限公司 蘇ICP備17037372號-2 電話:400-6776-989; 0516-83887908 郵箱:manager@jsgjxx.com