Emerson OpenEnterprise SCADA | 多个安全漏洞通告
发布时间 2020-05-290x00 漏洞概述
产品 |
CVE ID |
类 型 |
漏洞等级 |
远程利用 |
影响范围 |
Emerson OpenEnterprise SCADA |
CVE-2020-6970 |
BO |
严重 |
是 |
Emerson OpenEnterprise SCADA Server 3.1-3.3.3,2.83版本 |
CVE-2020-10640 |
MA |
严重 |
是 |
Emerson OpenEnterprise SCADA <= 3.3.4 |
|
CVE-2020-10632 |
IOM |
高危 |
否 |
||
CVE-2020-10636 |
IES |
中危 |
否 |
0x01 漏洞详情
Emerson Electric OpenEnterprise是美国艾默生电气(Emerson Electric)公司的一套主要用于远程石油和天然气应用的数据采集与监控系统(SCADA)。
近日,卡巴斯基的研究人员Roman Lozko发现了Emerson OpenEnterprise中的四个安全漏洞,这四个漏洞分别为基于堆的缓冲区溢出、缺少身份验证、所有权管理不当和弱加密问题,具体信息如下:
CVE-2020-6970是Emerson Electric OpenEnterprise SCADA Server中存在的缓冲区溢出漏洞,CVE-2020-10640是Emerson Electric OpenEnterprise中存在的安全漏洞。以上两个漏洞都被评级为“严重”,可以使攻击者在运行OpenEnterprise的设备上以提升的特权远程执行任意代码。
CVE-2020-10632是Emerson Electric OpenEnterprise中存在的安全漏洞,该漏洞源于程序为文件夹设置了不安全的权限。攻击者可利用该漏洞修改重要的配置文件,造成系统故障或异常。
CVE-2020-10636是Emerson Electric OpenEnterprise中存在的加密问题漏洞。攻击者可利用该漏洞获取OpenEnterprise用户帐户的密码。
0x02 处置建议
目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:
https://www.emerson.com/
0x03 相关新闻
https://www.securityweek.com/vulnerabilities-found-emerson-scada-product-made-oil-and-gas-industry
0x04 参考链接
https://www.us-cert.gov/ics/advisories/icsa-20-049-02
https://www.us-cert.gov/ics/advisories/icsa-20-140-02
0x05 时间线
2020-05-29 VSRC发布漏洞通告