网络安全和基础设施安全局 (CISA) 本周发布的安全公告提醒管理员注意两种工业控制系统设备(Unitronics Vision 系列 PLC 和三菱电机 MELSEC iQ-R 系列)中的漏洞。
CISA 警告称,Unitronics Vision 系列 PLC 控制器由于以可恢复格式存储密码而容易受到远程攻击。此漏洞 (CVE-2024-1480) 的 CVSS 评分为 8.7。
据 CISA 称,Unitronics 尚未对该机构做出回应,也没有与该机构合作来缓解这一问题,从而使装有这些设备的网络容易受到网络攻击。该建议建议确保控制器不连接到互联网,将其与业务网络隔离,保护防火墙后面的设备,并使用安全方法(例如虚拟专用网络(VPN))进行远程访问。
剩余的 工业控制系统漏洞 影响三菱电机公司 MELSEC iQ-R CPU 模块。 CPU 中的一个设计缺陷(根据 CVE-2021-20599 进行跟踪)的 CVSS 评分为 9.1。该装置以明文形式传输密码,很容易被对手截获。
三菱 MELSEC CPU 还存在三个已报告的缺陷,这些缺陷可能允许威胁行为者危害用户名、访问设备并拒绝合法用户的访问。其中包括:敏感信息暴露(CVE-2021-20594、CVSS 5.9);凭据保护不足(CVE-2021-20597、CVSS 7.4);以及限制性帐户锁定机制(CVE-2021-20598、CVSS 3.7)。
三菱正在努力为这些问题提供缓解措施和解决方法。然而,根据 CISA 的说法,配备这些设备的系统无法通过修复进行更新。该机构建议网络中拥有这些设备的管理员通过防火墙、远程访问限制和 IP 地址限制来加强防御。
该公告称:“三菱电机已经发布了修复版本……但无法将产品更新到修复版本。” “CISA建议用户采取防御措施,尽量降低该漏洞被利用的风险。”
