Mitsubishi Electric MELSEC可编程控制器超危漏洞实例分析

美国网络安全和基础设施安全局(CISA)于6月23日发布安全公告,披露Mitsubishi Electric MELSEC中存在一个安全漏洞。MELSEC是日本Mitsubishi Electric公司生产的可编程控制器,MELSEC包括iQ-R、iQ-F、Q等多个系列,在世界范围内主要用于关键制造行业。

Mitsubishi Electric MELSEC中存在的漏洞是个信息泄露漏洞,该漏洞编号为CVE-2020-14476,CVSS v3评分为10.0。

根据美国CISA发布的公告内容,该漏洞源于Mitsubishi Electric MELSEC iQ-R,iQ-F,Q,L和FX系列CPU模块,和GX Works3/GX Works2之间以明文形式传输敏感信息。该漏洞可带来一系列潜在风险,成功利用该漏洞,攻击者可泄露信息、篡改信息、未授权执行操作或造成拒绝服务。

据悉,该漏洞是由浙江大学NESC课题组发现并报告给Mitsubishi Electric公司的。攻击者可远程利用该漏洞,且对该漏洞的利用无需高深的技术。

Mitsubishi Electric建议用户通过设置VPN对通信路径加密,来缓解该漏洞造成的影响。美国CISA也建议用户采取防御性措施,将该漏洞被利用的风险降到最低。具体如下:

Ø 对于所有控制系统设备和系统,最小化其网络暴露,并确保从互联网上无法访问这些设备和系统;

Ø 确定部署在防火墙后面的控制系统网络和远程设备的位置,并将它们与业务网络隔离;

Ø 当需要远程访问时,使用VPN等安全方法,同时意识到VPN可能也有漏洞,应保持更新最新的可用版本,还要明白只有被连接的设备是安全的,VPN也才安全。

以上就是Mitsubishi Electric MELSEC可编程控制器超危漏洞实例分析的详细内容,更多请关注其它相关文章!