施耐德Pro-face GP-Pro EX输入验证漏洞安全通告
发布时间 2019-01-04漏洞编号和级别
CVE编号:CVE-2018-7832,危险级别:严重,CVSS分值:厂商自评 9.0,官方未评定
影响版本
Schneider Electric Pro-Face GP-Pro EX 4.08及之前版本
漏洞概述
施耐德Pro-face GP-Pro EX开发软件近日被曝出存在高危漏洞,成功利用漏洞可能导致启动任意可执行文件并造成进一步破坏,具有较高的安全风险。
Pro-face GP-Pro EX是法国施耐德电气(Schneider Electric)公司的一套HMI界面编辑和逻辑编程软件。支持专用的人机界面和开放的人机界面(基于PC)。GP-Pro EX实现了数据兼容,并具有多种功能,可减少开发时间,支持多种工业控制器(包括PLC、运动控制器、机器人)等设备的编程控制。
成功利用该漏洞,允许攻击者篡改代码,可以在启动程序时启动其他任意可执行文件。
漏洞验证
暂无POC/EXP。
修复建议
立即将软件更新至4.08.200版本,地址:https://www.proface.com/en/topic/2018/1126_3
将所有控制系统设备和网络暴露降至最低,确保无法从互联网访问这些设备;
部署工业网闸,确保控制网络与业务网络完全隔离;
确保所有的控制设备处于锁定的机柜中,如无必要不得处于“Program”模式;
在所有主机部署防护系统,严格扫描并隔离各种数据交换方式(如CD、USB等);
需要远程访问时使用安全的VPN。
参考链接
https://www.schneider-electric.com/en/download/document/SEVD-2018-354-02/
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201812-1094
京公网安备11010802024551号