富士电机伺服系统和驱动0day漏洞安全通告
发布时间 2018-09-30漏洞编号和级别
CVE编号:CVE-2018-14788,危险级别:中危,CVSS分值:厂商自评5.3,官方未评定
影响版本
Alpha5 Smart Loader Versions 3.7及之前版本
漏洞概述
ICS-CERT 和趋势科技 ZDI 团队本周披露称,日本富士电机公司的伺服系统和驱动中存在多个未修复的漏洞。研究员 Michael Flanders 在富士电机的 Alpha 5 智能伺服系统Loader 软件中发现了两个漏洞。
受影响产品主要用于欧洲和亚洲的商业设施和关键制造行业中,作用是通过调整,使驱动多种机器的电动机能够正确运行。
影响伺服系统的第二个漏洞是一个中危的缓冲区溢出漏洞,可导致在处理特殊构造的 A5P 文件时,敏感信息遭暴露。当结合其它漏洞使用时,攻击者能够以管理员权限利用该 bug 执行任意代码。
漏洞验证
暂无POC\EXP
修复建议
ZDI 给予富士电机120天的时间修复该漏洞。富士电机本周共发布5篇安全公告,目前由于尚未推出补丁,因此它们均属于 0day 漏洞状态。
富士电机公司表示正在推出补丁方案。在此之前,该公司建议用户避免在受影响应用程序中不受信任的文件。
参考链接
https://www.securityweek.com/no-patches-critical-flaws-fuji-electric-servo-system-drives
京公网安备11010802024551号