FBI警告称,FujiElectric的工业控制软件(ICS)中存在多个高危任意代码执行漏洞。当局警告说,这些漏洞可能允许对工厂和关键基础设施进行物理攻击。富士电机的TellusLiteV-Simulator和V-ServerLite均受此漏洞影响,CVSS严重性等级均为7.8。这两款产品可以组成一个完善的人机界面(HMI)系统,主要用于生产数据的远程监控和实时采集,以及对行业各种关键基础设备的控制。它可以与来自不同制造商的可编程逻辑控制器(PLC)、温度控制器、变频器等接口。“利用这些漏洞可能允许攻击者以应用程序的权限执行任意代码,”CISA解释说。根据网络安全和基础设施安全局(CISA)本周发布的警告,安全漏洞需要“非常高的条件才能利用”。它们不能被远程利用,因此非本地攻击者必须在执行攻击之前获得对用户计算机的初始访问权限。不过,GuruculCEOSaryuNayyar告诉Threatpost,这个条件并不难达到。“最有可能的攻击是通过破坏用户桌面或以其他方式访问受漏洞影响的平台的主流和常见方法之一,然后恶意攻击者将恶意文件上传到系统,”她说。,该文件将利用该漏洞,允许攻击者破坏服务器。”真实世界的攻击场景虽然工业环境中最好的生产是在隔离环境(操作技术或OT环境)中运行物理设备,但越来越多的平台例如TellusLiteV-Simulator和V-ServerLite,将IT资源连接到以前隔离的环境中。这一行为反过来又将ICS暴露在潜在的物理攻击之下。CerberusSentinel的常务董事ChristianEspinosa向Threatpost解释说:“其中一个ICS和SCADA系统面临的最大挑战是,它们不再运行在孤立的网络上,虽然经常关闭‘防火墙’,但它们基本上都连接在互联网上,这大大增加了黑客利用漏洞进行攻击的风险。”Nayyar表示,在这种环境下,最坏的情况是攻击者执行一个可能导致生产线上大量制造设备损坏的文件。但是,她说,“更有可能的情况是工业生产放缓,生产线上丢失了大量有价值的数据”。根据Espinosa的说法,这些漏洞还有其他几个目的。“攻击者可以更改HMI监控系统上显示的数据,这样监控系统的管理员就不会意识到黑客对远程设备的攻击,”他解释道。他打了个比方,这种情况就像是对摄像头的图像信号发起攻击,让不法分子在安保人员不注意的情况下发动攻击。“或者,他们可以在监视器显示屏上创建一条异常消息,然后触发紧急响应,”他补充说,并指出这类似于触发火警,导致监控系统的人员打开洒水器以扑灭火灾。着火同时损坏设备。“Stuxnet实际上利用了一个类似的漏洞,”他说。“Stuxnet的一个漏洞是让HMI上的数据看起来很正常,这样离心机就不会提醒操作员它正在以非常高的速度旋转。最终,离心机会破裂。”FujiElectric特定漏洞FujiElectricTellusLiteV-Simulator和V-ServerLite的受影响版本中存在五种不同的安全漏洞。当应用程序处理项目文件时,它们都会被触发,这允许攻击者为任意代码执行攻击制作一个特殊的项目文件。这些漏洞包括:多个基于堆栈的缓冲区溢出漏洞,统称为CVE-2021-22637。多个越界读取漏洞,统称为CVE-2021-22655。多个越界写入漏洞,统称为CVE-2021-22653。一个未初始化的指针漏洞(CVE-2021-22639)。并且还有一个基于堆的缓冲区溢出漏洞(CVE-2021-22641)。该平台在v4.0.10.0之前的版本中存在漏洞。CISA表示,到目前为止,还没有专门针对这些漏洞的公开工具,但管理员应尽快安装补丁。“这种类型的攻击是针对特定平台上的特定漏洞,现在已经开发了补丁,”Nayyar说。“这是防止攻击的第一步,更一般地说,最好总是让你的系统打上最新的补丁。”安防措施。制造设备应在尽可能隔离的工业环境中运行,以减少暴露于外界的可能性;管控系统需要通过安全策略、流程和技术加强网络安全防护措施,降低非授权访问风险。“Kimiya、VinCSS的TranVanKhang和一位匿名研究人员通过与趋势科技的零日计划合作向CISA报告了这些漏洞。”翻译自:https://threatpost.com/industrial-gear-fuji-code-execution-bugs/163490/
