欧姆龙HMI产品远程代码执行漏洞安全通告
发布时间 2019-01-22漏洞编号和级别
CVE编号:CVE-2018-19027,危险级别:中危,CVSS分值:厂商自评 6.6,官方未评定
影响版本
Omron CX-Protocol 2.0
Omron CX-Protocol 1.993
Omron CX-Protocol 1.992
Omron CX-One 4.50
Omron CX-One 4.42
漏洞概述
Omron CX-One是日本(欧姆龙)Omron公司的一套集成工具包,其中包括了用于网络、PT、变频器、温度控制器以及PLC编程软件等,允许组织创建用于监控和数据采集(SCADA)系统的人机界面(HMI),该工具在全球范围内使用,主要用于能源领域。CX-Protocol是其中的一个用于创建串行通信协议与标准串行设备通信的组件。 Omron CX-One 4.50及之前版本中的CX-Protocol 2.0及之前版本存在任意代码执行漏洞。远程攻击者可利用该漏洞在受影响应用程序的上下文中执行任意代码或造成拒绝服务。由于该漏洞利用要求低,需要注意。
漏洞验证
暂无POC/EXP。
修复建议
官方已经发布了新版本修复了该漏洞,请受影响的用户及时更新到CX-Protocol 2.01版本,形成对此漏洞长期有效的防护。
用户需要到官网下载最新版本,下载连接如下:
https://industrial.omron.us/en/home
参考链接
https://ics-cert.us-cert.gov/advisories/ICSA-19-010-02
https://www.securityfocus.com/bid/106524/info
京公网安备11010802024551号