首页 > 清静研究 > 清静转达 > 清静通告

Rockwell Automation可编程逻辑控制器清静误差危害通告

宣布时间 2020-03-18

误差编号和级别

CVE编号：CVE-2020-6990，，，，危险级别：严重，，，，CVSS分值：厂商自评：9.8，，，，官方未评定

CVE编号：CVE-2020-6984，，，，危险级别：严重，，，，CVSS分值：厂商自评：9.8，，，，官方未评定

CVE编号：CVE-2020-6988，，，，危险级别：高危，，，，CVSS分值：厂商自评：7.5，，，，官方未评定

CVE编号：CVE-2020-6980，，，，危险级别：中危，，，，CVSS分值：厂商自评：4.0，，，，官方未评定

影响版本

Rockwell Automation MicroLogix 1400 Controllers Series B v21.001及之前版本和Series A所有版本

MicroLogix 1100 Controller所有版本

RSLogix 500 Software v12.001及之前版本

误差概述

美国Rockwell Automation公司是全球最大的自动化和信息化公司之一。。。MicroLogix 1400 Controllers和MicroLogix 1100 Controllers是Rockwell Automation公司出品的可编程逻辑控制器。。。RSLogix 500 Software是一套用于工业控制系统的编程软件。。。

美国网络清静和基础设施清静局（CISA）克日宣布了一则清静通告，，，，披露美国Rockwell Automation公司MicroLogix 1400 Controllers，，，，MicroLogix1100 Controllers和RSLogix 500 Software中的多个误差。。。概述如下：

CVE-2020-6990，，，， RSLogix 500二进制文件使用硬编码的加密密钥，，，，而该加密密钥用于保�；；；；ふ嘶苈�。。。远程攻击者可以通过识别加密密钥，，，，并将其用于后续的密码攻击，，，，最终告竣越权会见控制器。。。

CVE-2020-6984，，，，该误差源于使用了被破解的或有危害的算法，，，，MicroLogix中用于保�；；；；っ苈氲募用芎菀妆环⒚�。。。远程攻击者可使用该误差破解算法并入侵受保�；；；；さ氖荩�，，最终泄露敏感信息。。。

CVE-2020-6988，，，，未经身份认证的远程攻击者可从RSLogix 500 Software向受害者的MicroLogix控制器发送一个请求，，，，控制器会接纳已用过的密码值响应客户端，，，，对在客户端上的用户举行身份认证。。。攻击者可使用此种身份认证要领绕过身份认证，，，，泄露敏感信息，，，，或泄露凭证。。。

CVE-2020-6980，，，，RSLogix 500中生涯了SMTP账户数据，，，，由于该数据以明文形式写入到项目文件中，，，，外地攻击者若是可以会见受害者的项目，，，，则能够网络SMTP server的身份认证数据。。。

误差验证

暂无PoC/EXP。。。

修复建议

关于使用MicroLogix 1400 Controllers Series B的用户，，，，Rockwell建议更新版本至21.002或更高版本，，，，并使用增强的密码清静功效，，，，链接：https://compatibility.rockwellautomation.com/Pages/MultiProductFindDownloads.aspx?crumb=112&refSoft=1&toggleState=&versions=56181,56502,56710,57096,58298。。。

关于RSLogix 500软件，，，，Rockwell Automation建议受影响的用户使用v11或更高版本，，，，并与适用于Micrologix 1400系列B装备的FRN 21.001或更高版本一起使用，，，，链接：https://compatibility.rockwellautomation.com/Pages/MultiProductFindDownloads.aspx?crumb=112&refSoft=1&toggleState=&versions=57415,56006。。。

而关于MicroLogix 1400 Series A控制器或MicroLogix 1100控制器，，，，Rockwell Automation向CISA体现现在尚未有缓解步伐。。。

参考链接

https://www.us-cert.gov/ics/advisories/icsa-20-070-06

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

Rockwell Automation可编程逻辑控制器清静误差危害通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线