ABB PLC安全网关存在未修复的严重漏洞

安全公司Applied Risk近期发现瑞士工业技术公司ABB生产的部分PLC安全网关中存在两个高危漏洞。被发现的两个漏洞存在于GATE-E1和GATE-E2两款安全网关产品中，ABB的该系列网关允许ABB的PLC与其他控制系统通信。然而糟糕的是，供应商将不会发布固件更新以修复上述漏洞，因为受影响的产品已达到使用寿命。



该安全公司还发布了一份安全公告，提供有关这两个漏洞的详细技术细节。其中一个为跨站脚本（CSS）漏洞，因在管理telnet和Web界面上缺少认证机制，该漏洞将允许攻击者获得未经授权的访问，更改设备配置从而形成DoS攻击。另一个为持久的跨站点脚本（XSS）漏洞，该漏洞允许攻击者通过管理HTTP和telnet接口，注入恶意代码，当合法管理员访问设备的web门户时，恶意程序将被执行。该漏洞已经被定为“高危”级别，CVSS V3基础评分为9.8分。

目前以上两个漏洞还没有发现被利用，但由于受影响的产品已达到使用寿命，供应商不会发布固件更新。

译者：何跃鹰