10月底資安業者VulnCheck發布工控系統資安警告,主角是ABB智慧建築能源管理系統Cylon Aspect的漏洞CVE-2023-0636、CVE-2024-6209,根據他們的調查,全球有265套系統可透過網際網路存取,但有214個尚未修補,由於近期已有公開的概念性驗證程式碼(PoC),很有可能接下來就會有人將其用於實際攻擊。
其中,命令注入漏洞CVE-2023-0636最令人擔心!攻擊者有機會在未經身分驗證的情況下,遠端利用漏洞執行程式碼,而且,ABB起初評為高風險層級,CVSS風險值為7.2,但後來美國國家漏洞資料庫(NVD)評為9.8分。為何前後評分出現如此懸殊的差距?原因在於當時ABB認為,攻擊者想要利用漏洞,前提是必須通過身分驗證,但相關研究後續指出並非如此,問題在於身分驗證流程並未完全強制執行,而讓攻擊者有機可乘。
研究人員提及,9月下旬專門研究工控系統的資安研究員Gjoko Krstic(又稱Liquid Worm)公布了該漏洞的PoC程式碼,他們檢視其內容,指出攻擊者若要利用這項漏洞,能夠使用多種方法進行命令注入,而且幾乎沒有難度。
另一個漏洞CVE-2024-6209,問題也不小,因為這是未經授權的檔案洩露弱點,攻擊者能藉此取得使用者的明文帳密資料,並用於命令注入或是遠端執行程式碼,4.0版CVSS風險評為9.4。
熱門新聞
2024-12-22
2024-12-20
2024-12-22
2024-12-20
Advertisement