罗克韦尔、三菱等工控巨头PLC等产品被曝存在高危漏洞

10月31日，美国网络安全和基础设施安全局（CISA）在网络安全监控中，发现罗克韦尔自动化系统和三菱系统存在易受网络攻击的问题，并敦促制造公司积极采取缓解措施。




在 2024 年 10 月 31 日发布的新工业控制系统（ICS）安全公告中，CISA 详细介绍了四组影响 ICS 系统的漏洞。涉及的系统包括罗克韦尔自动化 FactoryTalk ThinManager、三菱电机 FA 工程软件产品（涵盖多个相关产品）以及三菱电机 MELSEC iQ - R 系列 /iQ - F 系列。
罗克韦尔自动化 FactoryTalk ThinManager 漏洞情况

罗克韦尔自动化 FactoryTalk ThinManager 存在 CVE - 2024 - 10386 和 CVE - 2024 - 10387 两个漏洞。CVE - 2024 - 10386 是缺少关键功能的身份验证漏洞，CVE - 2024 - 10387 为越界读取漏洞。这两个漏洞极为危险，CVSS 评分分别高达 9.3 和 8.7。攻击者若成功利用这些漏洞，可向设备发送特制消息，进而可能操纵数据库，使企业生产数据面临被篡改或丢失的风险，严重干扰正常生产流程。更糟糕的是，还可能引发拒绝服务情况，导致设备瘫痪，给制造企业带来巨大经济损失。而且，这些关键漏洞可远程利用，攻击复杂性低，意味着攻击者无需复杂技术和环境就能发动攻击。
三菱电机 FA 工程软件产品漏洞情况

三菱电机 FA 工程软件产品的主要漏洞 CVE - 2023 - 6943 的 CVSS 评分为 9.8。此漏洞允许攻击者在连接产品时，通过远程调用含恶意库路径的函数来执行恶意代码。如此一来，未经授权的用户可能泄露、篡改、销毁或删除产品信息，也可能导致产品出现拒绝服务（DoS）情况，严重破坏企业生产秩序和数据安全。
三菱电机 MELSEC iQ - R 系列 /iQ - F 系列漏洞情况

三菱电机 MELSEC iQ - R 系列 /iQ - F 系列的主要漏洞 CVE - 2023 - 2060 的 CVSS 评分为 8.7。这是 EtherNet/IP 模块上 FTP 功能中的身份验证绕过漏洞，由弱密码要求导致。它允许未经身份验证的远程攻击者通过字典攻击或密码嗅探经 FTP 访问模块，可能导致非法获取数据或对模块进行恶意操作，影响控制系统正常运行和生产过程。



此外，公告还包含一些严重性评分较低的其他漏洞，虽严重性稍低，但在复杂网络攻击环境中，可能成为攻击者突破防线的辅助手段，与其他漏洞结合扩大危害。
CISA 针对罗克韦尔自动化和三菱系统的缓解建议

罗克韦尔自动化和三菱针对各自系统利用这些漏洞都给出了具体建议，可在 CISA 公告中查询。同时，CISA 还提出通用防御措施以降低利用这些漏洞的风险。

首先，要最大程度减少控制系统设备和 / 或系统的网络暴露，禁止其从 Internet 访问，从源头阻断外部网络攻击。其次，将控制系统网络和远程设备置于防火墙后，并与业务网络隔离，防止企业内部网络安全威胁蔓延至控制系统网络。最后，需要远程访问时，使用更安全的方法，如虚拟专用网络（VPN），同时留意 VPN 可能存在的漏洞并及时更新至最新版本，保障远程访问安全，避免引入新安全隐患。
9月CISA 对其他工控巨头产品漏洞的发现与建议

（一）罗克韦尔自动化 RSLogix 5 和 RSLogix 500 漏洞情况

2024 年 9 月 19 日，CISA 发布的工业控制系统新建议中，指出罗克韦尔自动化 RSLogix 5 和 RSLogix 500 软件存在因数据真实性验证不足（CWE - 345）导致的重大漏洞。恶意行为者可通过在项目文件中嵌入 VBA 脚本，在文件打开时自动执行远程代码。此漏洞编号为 CVE - 2024 - 7847，CVSS v3.1 评分为 7.7，CVSS v4 评分为 8.8，利用风险极高。
（二）IDEC PLC 漏洞情况

IDEC PLC 存在两个漏洞：一是敏感信息的明文传输（CWE - 319），二是可预测数字或标识符的生成（CWE - 340）。这两个漏洞使攻击者可拦截用户身份验证详细信息或破坏通信。相关 CVE 为 CVE - 2024 - 41927 和 CVE - 2024 - 28957，CVSS v3.1 评分分别为 4.6 和 5.3。
（三）IDEC CORPORATION WindLDR 和 WindO/I - NV4 漏洞情况

IDEC 的 WindLDR 和 WindO/I - NV4 软件受涉及敏感信息明文存储的漏洞（CWE - 312）影响，可能导致未经授权访问用户身份验证数据。该漏洞编号为 CVE - 2024 - 41716，CVSS v3.1 评分为 5.9。
（四）MegaSys 计算机技术 Telenium 在线 Web 应用程序漏洞情况



MegaSys Telenium 在线 Web 应用程序因输入验证不当（CWE - 20）存在漏洞。攻击者可通过精心设计的 HTTP 请求注入任意 Perl 代码，可能导致服务器上的远程代码执行。此漏洞标识为 CVE - 2024 - 6404，CVSS v3.1 评分高达 9.8，CVSS v4 评分为 9.3。
（五）Kastle Systems 门禁系统漏洞情况

Kastle Systems 的访问控制系统受两个漏洞影响：使用硬编码凭证（CWE - 798）和明文存储敏感信息（CWE - 312），这可能导致未经授权访问敏感数据。编号为 CVE - 2024 - 45861 和 CVE - 2024 - 45862，CVSS v3.1 评分均为 8.6，CVSS v4 评分均高于 9。
（六）Treck TCP/IP 堆栈（更新 I）漏洞情况

Treck TCP/IP 堆栈（更新 I）受多个漏洞困扰，包括对长度参数不一致的不当处理（CWE - 130）、不当的输入验证（CWE - 20）以及双重释放（CWE - 415）和越界读取（CWE - 125）等。这些漏洞可能导致远程代码执行或敏感信息泄露，多个漏洞的 CVSS v3 评分最高达 10.0，风险严重。

针对这些情况，CISA 敦促用户和管理员仔细查看每个建议中的详细技术指导，实施推荐的安全实践，这对于保护工业控制系统资产免受潜在网络威胁至关重要。各工控巨头产品的漏洞警示着整个工业控制系统领域面临着复杂严峻的网络安全形势，相关企业和机构必须高度重视并积极应对，以保障工业生产的安全与稳定。这些漏洞涉及从软件设计缺陷到数据存储和传输安全问题等多个方面，需要全方位的防护措施和持续的安全监测