新闻资讯
全部分类

施耐德PLC编程软件曝高危漏洞 允许黑客发起远程网络攻击

  • 分类:行业洞察
  • 作者:
  • 来源:
  • 发布时间:2018-05-29 15:40
  • 访问量:

【概要描述】全球能效管理领域的领导者施耐德电气(Schneider Electric)在上周二针对存在于SoMachine Basic编程软件中的一个高危漏洞发布了修复程序,该漏洞可以被远程利用以获取敏感数据。

施耐德PLC编程软件曝高危漏洞 允许黑客发起远程网络攻击

【概要描述】全球能效管理领域的领导者施耐德电气(Schneider Electric)在上周二针对存在于SoMachine Basic编程软件中的一个高危漏洞发布了修复程序,该漏洞可以被远程利用以获取敏感数据。

  • 分类:行业洞察
  • 作者:
  • 来源:
  • 发布时间:2018-05-29 15:40
  • 访问量:
详情

  ​全球能效管理领域的领导者施耐德电气(Schneider Electric)在上周二针对存在于SoMachine Basic编程软件中的一个高危漏洞发布了修复程序,该漏洞可以被远程利用以获取敏感数据。

  SoMachine Basic,也被称为EcoStruxure Machine Expert,是一款轻量级的编程软件,专为施耐德Modicon M221可编程逻辑控制器(Programmable Logic Controller,PLC)而设计,用于开发PLC的程序代码。

  工业网络安全公司Applied Risk的研究员Gjoko Krstic最近发现,SoMachine Basic 1.6.0 build 61653和SoMachine Basic 1.5.5 SP1 build 60148,并且很有可能所有的早期版本都受一个XML外部实体注入(XXE)漏洞的影响,该漏洞可被利用来发起带外数据(Out of Band,OOB)攻击。

  这个漏洞被追踪为CVE-2018-7783,CVSS V3评分8.6,属于一个高危漏洞。该漏洞可被未经身份验证的远程攻击者利用来读取目标系统上的任意文件,而这些文件可能包含敏感信息,如密码、用户数据和有关系统的详细信息。

  Krstic指出,想要利用这个漏洞,攻击者必须诱骗受害者以打开特制的SoMachine Basic项目或模板文件。另外,在某些情况下,这个漏洞也可能被利用来执行任意代码并导致目标系统进入拒绝服务(DoS)状态。

  目前,施耐德电气已经通过发布SoMachine Basic v1.6 SP1对这个漏洞进行了修复,并建议用户尽快下载修补程序或使用Schneider Electric软件更新工具进行更新。

相关文件

暂时没有内容信息显示
请先在网站后台添加数据记录。
天地和兴

公司总部:北京市海淀区中关村软件园8号华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

版权所有:北京天地和兴科技有限公司      京ICP备17065546号-1

扫一扫关注

天地和兴微信公众号