4月15日，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布安全警告，稱在OpENer EtherNet/IP協(xié)議棧中發(fā)現(xiàn)了多個(gè)安全漏洞，攻擊者利用這些漏洞可以發(fā)起DoS 攻擊、數(shù)據(jù)泄露、遠(yuǎn)程代碼執(zhí)行等。

CISA發(fā)布的安全漏洞預(yù)警中的漏洞是網(wǎng)絡(luò)安全公司Claroty研究人員Tal Keren 和Sharon Brizinov發(fā)現(xiàn)的。研究人員稱共發(fā)現(xiàn)了5個(gè)安全漏洞，分別是CVE-2021-27478、CVE-2020-13556、CVE-2021-27482、CVE-2021-27500、CVE-2021-27498。

CVE-2020-13556漏洞是越界寫漏洞，CVSS評(píng)分9.8分，攻擊者利用偽造的網(wǎng)絡(luò)請求可以引發(fā)遠(yuǎn)程代碼執(zhí)行。

CVE-2021-27478漏洞是數(shù)類型之間的錯(cuò)誤轉(zhuǎn)化引發(fā)的安全漏洞，CVSS評(píng)分8.2分，攻擊者利用發(fā)送到有漏洞的設(shè)備的偽造的請求可以引發(fā)DoS。

CVE-2021-27482漏洞是越界讀漏洞，CVSS評(píng)分7.5分，攻擊者利用偽造的請求可以讀取設(shè)備上的任意數(shù)據(jù)。

CVE-2021-27500漏洞CVSS評(píng)分7.5分，攻擊者通過發(fā)送給設(shè)備的偽造請求可以引發(fā)DoS攻擊。

CVE-2021-27498漏洞CVSS評(píng)分7.5分，攻擊者通過發(fā)送給設(shè)備的偽造請求可以引發(fā)DoS攻擊。

完整技術(shù)分析參見：https://claroty.com/2021/04/15/blog-research-fuzzing-and-pring/

本文翻譯自：

https://thehackernews.com/2021/04/severe-bugs-reported-in-ethernetip.html與https://claroty.com/2021/04/15/blog-research-fuzzing-and-pring/