Rittal Chiller SK 3232-Series安全漏洞安全通告
发布时间 2019-10-31漏洞编号和级别
CVE编号:CVE-2019-13549,危险级别:严重,CVSS分值:厂商自评:9.1,官方未评定
CVE编号:CVE-2019-13553,危险级别:严重,CVSS分值:厂商自评:9.1,官方未评定
影响版本
Carel pCOWeb(A1.5.3版本至B1.2.4版本固件)
漏洞概述
Rittal Chiller SK 3232-Series是德国威图(Rittal)公司的一款液体冷却设备。
CVE-2019-13549
Rittal Chiller SK 3232-Series中的Web接口存在安全漏洞,该漏洞源于身份验证机制未进行充分保护来阻止未授权的配置更改。允许攻击者通过导航到一个特定的URI来绕过身份验证和访问关键功能。
CVE-2019-13553
Rittal Chiller SK 3232-Series中的Web接口存在信任管理问题漏洞。该漏洞与允许攻击者访问系统的硬编码凭据有关。攻击者可利用该漏洞影响一些基本操作,例如打开或关闭制冷设备。
漏洞验证
暂无POC/EXP。
修复建议
目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:https://www.rittal.com。
缓解措施:
最小化所有控制系统设备和/或系统的网络暴露,并确保不能从Internet访问它们;
在防火墙后面找到控制系统网络和远程设备,并将其与业务网络隔离;
当需要远程访问时,请使用安全方法,例如虚拟专用网络(VPN),并确认VPN可能存在漏洞,应将其更新为可用的最新版本。还应认识到VPN仅与连接的设备一样安全。
参考链接
https://www.us-cert.gov/ics/advisories/icsa-19-297-01
京公网安备11010802024551号