CISA發布工業控制系統建議，多個關鍵漏洞影響三菱電機PLC

美國網絡安全和基礎設施安全局(CISA)上周發布了一份工業控制系統(ICS)咨詢報告，警告三菱電機GX Works3工程軟件存在多個漏洞。如果成功利用這些漏洞可使未經授權的用戶獲得對MELSEC iQ-R/F/L系列CPU模塊和MELSEC iQ-R系列OPC UA服務器模塊的訪問權，或查看和執行程序。

GX Works3是ICS環境中使用的工程工作站軟件，作為從控制器上傳和下載程序的機制，排除軟件和硬件問題，并執行維護操作。廣泛的功能也使該平臺成為希望破壞此類系統以控制被管理的PLC的威脅者的誘人目標。

10個缺陷中有3個與敏感數據的明文存儲有關，4個與使用硬編碼的加密密鑰有關，2個與使用硬編碼的密碼有關，1個涉及保護不足的憑證情況。

其中最關鍵的漏洞CVE-2022-25164和CVE-2022-29830的CVSS評分為9.1，可以被濫用，以獲得對CPU模塊的訪問，并獲得項目文件的信息，而不需要任何權限。

發現CVE-2022-29831(CVSS評分：7.5)的Nozomi Networks表示，能夠訪問安全PLC項目文件的攻擊者可以利用硬編碼密碼直接訪問安全CPU模塊，并可能破壞工業流程。

報告指出：“工程軟件是工業控制器安全鏈中的一個重要組成部分，如果其中出現任何漏洞，對手可能會濫用這些漏洞，最終破壞所管理的設備，從而破壞受監督的工業流程。"

CISA披露了三菱電機MELSEC iQ-R系列的拒絕服務(DoS)漏洞的細節，該漏洞源于缺乏適當的輸入驗證(CVE-2022-40265，CVSS評分：8.6)。

CISA指出："成功利用這個漏洞可以使遠程未認證的攻擊者通過發送特制的數據包在目標產品上造成拒絕服務的情況。

在一個相關的發展中，網絡安全機構進一步概述了影響霍納自動化公司的遠程緊湊型控制器(RCC)972的三個問題，其中最關鍵的問題(CVE-2022-2641，CVSS評分：9.8)可能導致遠程代碼執行或引起DoS條件。

文章來源：E安全