首页 > 清静研究 > 清静转达 > 清静通告

宣布时间 2018-12-19

CVE编号：CVE-2018-18995，危险级别：严重，CVSS分值：厂商自评 9.8，官方未评定

CVE编号：CVE-2018-18997，危险级别：中危，CVSS分值：厂商自评 7.1，官方未评定

GATE-E1 (EOL 2013)

GATE-E2 (EOL OCT 2018)

研究职员在瑞士工业手艺公司 ABB 生产的某些网关产品中发明了严重误差，但由于产品的生命周期竣事，因此厂商将不会推出补丁。

Applied Risk公司本周宣布清静通告体现，ABB 生产的 Pluto 网关产品中保存两个严重误差。受影响的网关是 GATE-E1 和 GATE-E2，它们可导致 ABB 公司的可编程清静控制器（清静 PLCs）和其它控制系统通讯。

研究职员指出，这些装备的管理员 telnet 和 web 接口上缺少认证机制，可导致攻击者容易获取授权权限。该缺陷被 Applied Risk 公司和 ABB 公司均评为“严重”品级，可被用于修改装备设置并通过一连重置产品的要领引发拒绝服务条件。

ABB 公司诠释称，“该误差是因产品中缺乏认证支持导致的。当开发产品时，并未设计提供清静服务如认证。”

Applied Risk公司体现，这些误差可遭远程使用，并且若是网络设置了这类会见权限则可能通过互联网被使用。

ABB 公司为认证缺失和 XSS 误差情形宣布清静通告。该公司见告客户称，产品已寿终正寝，因此将不会推出任何固件更新。然而，用户应当会收到关于怎样�；ぷ爸贸绦蚯寰驳闹改嫌始�。

现在尚未有证据批注，这些缺陷已被恶意使用。

暂无POC/EXP。

ABB将不会宣布更新的固件，由于GATE-E1和GATE-E2都已抵达使用寿命（EOL）。 ABB建议实验纵深防御原则，以最大限度地降低误差被使用的危害。

https://ics-cert.us-cert.gov/advisories/ICSA-18-352-01

https://www.securityweek.com/serious-flaws-found-abb-safety-plc-gateways

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明