聚焦源代碼安全,網羅國內外最新資訊!
編譯:代碼衛士
日本電子巨頭歐姆龍最近修復了 CX-Programmer 軟件中的多個高危漏洞,它們可用於執行遠程代碼。
日本JPCERT/CC 本月初發布安全公告指出,該產品受5個釋放後使用和界外漏洞,它們的CVSS評分均為 7.8。
CX-Programmer是歐姆龍 CX-One 自動化軟件套件的組成部分,旨在編程和調試歐姆龍的可編程邏輯控制器 (PLCs)。美國網絡安全和基礎設施安全局 (CISA) 指出,該產品用於全球各地,包括一些關鍵製造行業。
這些CX-Programmer 漏洞影響版本 9.76 及更早版本。這些缺陷是由安全研究員 Michael Heinzl 發現的,並通過JPCERT/CC在2021年5月和6月告知歐姆龍公司。
研究人員指出,這些漏洞是由缺少數據驗證造成的,如遭成功利用可導致信息泄露或任意代碼執行後果。然而,利用這些漏洞要求用戶交互,如誘騙目標用戶打開特殊構造的CXP文件。Heinzl 已為每個漏洞發布公告。這些漏洞均已收到CVE編號。
JPCERT/CC 指出,這些漏洞已在CX-Programmer 9.77 中修復,已在2022年1月發布。JPCERT/CC 指出,CX-One 套件是自動更新特徵,多數用戶無需採取任何措施應用這些補丁。然而,建議用戶確保自動更新運行正常並在發生問題時及時聯繫廠商。
CISA 尚未發布相關漏洞安全公告,但CISA確實一般會通知位於美國的組織機構關於歐姆龍產品中的安全漏洞情況。
Heinzl 此前曾發現富士電機公司 Tellus 工廠監控和運營產品、Delta 電子公司 DIAEnergie 工業能源管理系統和捷克共和國工業自動化公司 mySCADA 的myPRO HMI/SCADA 產品中的多個漏洞。
Apache PLC4X開發者向企業下最後通牒:如不提供資助將停止支持
施耐德電氣的 Modicon PLC 中被曝嚴重漏洞,已有緩解措施
新漏洞可導致西門子 PLCs 遭遠程攻擊
ABB 公司的安全 PLC 網關被曝嚴重漏洞,不計劃修復
富士電機 PLC 訪問工具被曝多個漏洞
https://www.securityweek.com/high-severity-vulnerabilities-patched-omron-plc-programming-software
題圖:Pixabay License
本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。
奇安信代碼衛士 (codesafe)
國內首個專注於軟件開發安全的產品線。
覺得不錯,就點個「在看」 或 "贊」 吧~
留言列表