工業自動化系統容易受黑客的遠端攻擊

該漏洞跟蹤為cve-2020-25159，行業標準通用漏洞評分系統（cvss）將該漏洞評為嚴重等級為9.8，並影響2.28之前發布的所有版本的ethernet / ip介面卡源**堆疊。

實時自動化（rta）499es ethernet / ip（enip）堆疊中發現的乙個關鍵漏洞可能使工業控制系統容易受到黑客的遠端攻擊。

rta的enip堆疊是廣泛使用的工業自動化裝置之一，被稱為「北美工廠i / o應用程式的標準」。這個成功利用此漏洞可能導致拒絕服務的情況，以及緩衝區溢位可能允許遠端執行**。

國內知名網路安全組織東方聯盟向cisa披露了堆疊溢位漏洞，儘管rta似乎早在2023年就從其軟體中刪除了可攻擊**，但懷疑許多**商可能在2023年更新之前購買了該堆疊的易受攻擊版本並將其整合到自己的韌體中，從而使多台裝置處於危險之中。

東方聯盟研究人員說：「發現有11家裝置在6家獨特**商的產品中執行rta的enip堆疊。」

該缺陷本身涉及對通用工業協議（cip）中使用的路徑解析機制的不當檢查，通用工業協議（cip）是一種用於組織和共享工業裝置中的資料的通訊協議，它允許黑客攻擊者開啟具有大連線路徑大小的cip請求（大於32），並導致解析器將其寫入固定長度緩衝區外部的記憶體位址，從而導致可能執行任意**。

東方聯盟創始人郭盛華在其公開中說：「 rta裝置中的舊**試圖通過限制ethernet / ip**開啟請求中使用的特定緩衝區的大小來減少ram的使用。通過限制ram，黑客攻擊者就有可能嘗試超載緩衝區並使用該緩衝區來嘗試控制裝置。」

研究人員掃瞄了290個與enip相容的模組，其中發現來自六個不同**商的11個裝置正在使用rta的enip堆疊。據資料顯示，目前有8,000多種相容enip的面向網際網路的裝置。

建議操作員更新到enip堆疊的當前版本，以減輕該漏洞。cisa還建議使用者最大程度地減少所有控制系統裝置的網路暴露，並確保不能從internet訪問它們。

cisa在警報中說：「將控制系統網路和遠端裝置放在防火牆後面，並將它們與業務網路隔離開。」「當需要遠端訪問時，請使用安全方法，例如虛擬專用網（vpn），要意識到vpn可能存在漏洞，應將其更新為可用的最新版本！」（歡迎**分享）