Rockwell Automation 最近发布的三个安全通告中,涉及了十个漏洞。这一举动紧随 网络安全和基础设施安全局CISA 于3月26日发布的 通告。这些漏洞主要集中在该公司的 PowerFlex 527、Arena Simulation 产品和 FactoryTalk View ME 平台上。
Rockwell 对于发现这些漏洞的研究员 Michael Heinzl 表达了感谢。Heinzl 在安全界受到赞誉,因为他报告了严重的缺陷,这些缺陷可以被恶意构造的文件利用。下面对每个 Rockwell Automation 产品受影响的漏洞进行了梳理:
在 PowerFlex 中发现了三个高危漏洞,攻击者可以利用这些漏洞进行拒绝服务攻击。Rockwell Automation 目前尚未发布任何补丁,并建议用户采取缓解措施和最佳安全实践。成功利用此 PowerFlex 漏洞可能导致设备崩溃,并需要手动重启以恢复运行。
此产品包括 五个高危任意代码执行漏洞 和一个中危的信息泄露及拒绝服务问题。成功利用这些漏洞可能会导致应用程序崩溃,或者让攻击者在系统上运行有害代码。
该部分描述了在 FactoryTalk View ME 内部测试中发现的中危跨站脚本安全问题。软件更新已经发布以修补该漏洞。成功利用此漏洞可能会导致无法查看或控制 PanelView 产品。
报告的系统漏洞数量几乎每年翻倍,安全团队面临着巨大的压力,DeNexus 的创始人兼首席执行官 Jose Seara 表示。然而,Seara 指出,团队应认真对待所有这些通告,但要根据其重要性和可利用性进行评估。
“了解威胁行为者利用漏洞的财务影响,是风险缓解决策过程的第三个方面,这可以通过网络风险量化来获得信息,”Seara 说道。
Token 的首席执行官 John Gunn 指出,观察到航空旅行安全标准如波音飞机的标准和网络安全措施缺乏标准、监督与监管之间的显著差异,实在很有趣。“看似无穷无尽的新通告和必要的补丁,实际上是提供者在更关注利润而非网络安全的情况下‘尽力而为’的直接结果,”Gunn 说道。
