Schneider Electric 公司修补了 HMI 产品中的严重漏洞

“

全文568字

预计阅读时间2min

”

Schneider Electric公司为InduSoft Web Studio和InTouch Machine Edition产品发布了更新，以解决一些会被用于远程代码执行的严重漏洞。

InduSoft Web Studio允许组织对人机界面（HMI）、监控和数据采集（SCADA）系统和嵌入式仪表解决方案进行开发。WonderwareInTouch产品是一种HMI可视化软件，在全球1/3以上的工业设施中都有使用。这些产品用于包括制造业、给排水，汽车，石油和天然气，楼宇自动化和能源在内的多个领域。

前任Exodus Intelligence公司的 CTO 兼创始人，目前就职于Raytheon公司的员工Aaron Portnoy表示，这些产品受到基于堆栈的严重缓冲区溢出漏洞（CVE-2017-14024）的影响，该漏洞使得远程攻击者能通过提权来执行任意代码。

Schneider Electric公司在其报告中解释道：“InduSoft Web Studio和InTouch Machine Edition为HMI客户端提供订阅标签和监视其价值的功能。远程恶意实体可能会发送精心设计的数据包，在标签订阅期间可能利用基于堆栈的缓冲区溢出漏洞来执行代码。该代码将在高权限下执行，并可能导致InduSoft Web Studio或InTouch Machine Edition服务器被彻底攻陷。”

该漏洞影响了InduSoft Web Studio 8.0 SP2 Patch 1及更早的版本和InTouch Machine Edition 8.0 SP2 Patch 1及更早版本。产品版本8.1中包含修补程序。

根据ICS-CERT报告，对这些漏洞的攻击方法已经被公开，并且哪怕只是低级的黑客也能利用该漏洞。

这并不是Portnoy公司在两个Schneider Electric产品中发现的唯一严重的漏洞。今年9月，ICS-CERT和供应商警告用户严重缺少身份验证的问题可能会使得攻击者执行任意代码并完全控制受影响的服务器。

早在2012年，研究人员就在Rockwell Automation公司，Schneider公司，InduSoft公司（该公司当时不属于 Schneider 公司），RealFlex公司和Eaton公司的ICS产品中发现了近二十个安全漏洞。

Bolean ｜ 木链科技