关于罗克韦尔FactoryTalk组件存在严重漏洞的风险通报

近日，ICS-CERT发布公告，多款罗克韦尔FactoryTalk激活工具存在高危安全漏洞，影响大量工业控制系统软件。罗克韦尔自动化公司的FactoryTalk组件在我区能源、石油石化、化工、交通运输、水利、铁路、民用航空、大型装备制造等领域的重要工业控制系统广泛应用。现就具体情况通报如下：

一、情况分析

罗克韦尔FactoryTalk组件内存缓冲区边界内若操作限制不当，允许第三方读取或写入缓冲区预期边界之外的内存位置，攻击者能够通过该漏洞注入木马病毒，在主机上执行任意代码，改变正常的控制流程，读取敏感信息或导致系统崩溃，给工业控制系统正常运营带来严重安全隐患。

二、影响范围

1. v4.00和v4.01版本的FactoryTalk Activation Manager附带v6.50b及更早版本的Wibu-Systems软件保护及授权管理器。

2. v4.00及更早版本FactoryTalk Activation Manager，附带v11.11.1.1及更早版本的FlexNet软件保护及授权管理器。

三、加固措施

（一）建议相关工业控制系统运营单位密切跟踪漏洞情况，及时排查安全风险。

（二）按照《工业控制系统信息安全防护指南》要求，开展工业控制系统及工控主机的安全防护工作。一是强化系统登录账号及密码，避免弱口令；二是下载更新补丁，离线验证后再进行系统修复；三是通过适当的安全技术（如防火墙、UTM设备或其他安全设备）限制或组织TCP和2222端口和44818端口的访问，来阻挡所有流向EtherNet/IP或其他基于CIP协议的通信；四是避免将工业控制设备或工程师站暴露在互联网中，应用隔离设备确保外界无法从互联网直接访问工业设备；五是关闭不必要的Web接口和服务端口，必须进行远程访问时，使用虚拟专用网络（VPN），同时确保VPN自身的安全性；六是做好安全配置，定期进行配置审计；七是及时备份相关数据。