未修复关键缺陷，ABB安全PLC网关受影响

更多全球网络安全资讯尽在E安全官网www.easyaq.com

小编来报：Applied Risk研究人员发现工业技术公司ABB生产的部分PLC网关存在严重缺陷。

Applied Risk安全专家发现瑞士工业技术公司ABB生产的某些网关受潜在严重漏洞影响，而坏消息是，由于受影响产品已超过使用期限，供应商将不会发布固件更新。

安全公司发布安全公告，公布ABB Pluto Gateway产品GATE-E1与GATE-E2中两个漏洞的技术细节。

ABB网关解决方案允许ABB可编程逻辑控制器（PLC）与其他控制系统进行通信。

ABB发布安全公告称，“在ABB GATEE1/E2设备中发现两个漏洞。这些发现包括设备管理界面上无任何身份验证，以及存在未经身份验证的持久型跨站脚本漏洞。”

“发现这些问题后，ABB已停用GATE-E2，而设备E1早已超出使用期限。”

这些设备并未在telnet/web管理界面实现身份验证，这些缺陷可被用来更改设备设置并通过不断重置产品导致拒绝服务环境。

根据Applied Risk分配，这些缺陷CVSS v3基本分数为9.8。



ABB PLC网关

专家还发现一个持久型跨站脚本（XSS）漏洞，攻击者可利用该漏洞通过管理HTTP与telnet接口注入恶意代码。当合法管理员访问设备的web门户时，将执行恶意操作。该缺陷严重程度评级为“高危”。

ABB还为缺失的身份验证与XSS漏洞发布了单独的公告。ABB将向客户发送操作指南，指导用户保护其安装的设备。

好消息是专家并未在公开的网络上发现利用这些漏洞的攻击。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com

推荐阅读：

推特披露，疑似国家赞助发起攻击

韩国试图利用AI避免语音网络钓鱼攻击

“无证据”证明华为参与间谍活动，德国IT监管部门发声

钓鱼攻击伪装为Office 365未送达电邮

2018年度最烂密码评选结果

炸弹威胁”诈骗团这次威胁称，将向受害者身上泼硫酸

▼点击“阅读原文” 查看更多精彩内容



喜欢记得打赏小E哦！