首页 > 清静研究 > 清静转达 > 清静通告

ABB PLC严重误差清静通告

宣布时间 2018-12-19

误差编号和级别

CVE编号：CVE-2018-18995，，，，，，，危险级别：严重，，，，，，，CVSS分值：厂商自评 9.8，，，，，，，官方未评定

CVE编号：CVE-2018-18997，，，，，，，危险级别：中危，，，，，，，CVSS分值：厂商自评 7.1，，，，，，，官方未评定

影响版本

GATE-E1 (EOL 2013)

GATE-E2 (EOL OCT 2018)

误差概述

研究职员在瑞士工业手艺公司 ABB 生产的某些网关产品中发明了严重误差，，，，，，，但由于产品的生命周期竣事，，，，，，，因此厂商将不会推出补丁。。。。。

Applied Risk公司本周宣布清静通告体现，，，，，，，ABB 生产的 Pluto 网关产品中保存两个严重误差。。。。。受影响的网关是 GATE-E1 和 GATE-E2，，，，，，，它们可导致 ABB 公司的可编程清静控制器（清静 PLCs）和其它控制系统通讯。。。。。

研究职员指出，，，，，，，这些装备的治理员 telnet 和 web 接口上缺少认证机制，，，，，，，可导致攻击者容易获取授权权限。。。。。该缺陷被 Applied Risk 公司和 ABB 公司均评为“严重”品级，，，，，，，可被用于修改装备设置并通过一连重置产品的要领引发拒绝效劳条件。。。。。

ABB 公司诠释称，，，，，，，“该误差是因产品中缺乏认证支持导致的。。。。。当开发产品时，，，，，，，并未设计提供清静效劳如认证。。。。。”

Applied Risk公司体现，，，，，，，这些误差可遭远程使用，，，，，，，并且若是网络设置了这类会见权限则可能通过互联网被使用。。。。。

ABB 公司为认证缺失和 XSS 误差情形宣布清静通告。。。。。该公司见告客户称，，，，，，，产品已寿终正寝，，，，，，，因此将不会推出任何固件更新。。。。。然而，，，，，，，用户应当会收到关于怎样�；；；；；；ぷ爸贸绦蚯寰驳闹改嫌始�。。。。。

现在尚未有证据批注，，，，，，，这些缺陷已被恶意使用。。。。。

误差验证

暂无POC/EXP。。。。。

修复建议

ABB将不会宣布更新的固件，，，，，，，由于GATE-E1和GATE-E2都已抵达使用寿命（EOL）。。。。。 ABB建议实验纵深防御原则，，，，，，，以最大限度地降低误差被使用的危害。。。。。

参考链接

https://ics-cert.us-cert.gov/advisories/ICSA-18-352-01

https://www.securityweek.com/serious-flaws-found-abb-safety-plc-gateways

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究