美國網(wǎng)絡安全和基礎設施安全局 (CISA) 在上周發(fā)布了一份工業(yè)控制系統(tǒng) (ICS) 咨詢，對三菱電機 GX Works3 工程軟件存在的多個漏洞發(fā)出了安全警告。

GX Works3是一種用于 ICS 環(huán)境的工程軟件，能夠從控制器上傳和下載程序、排除軟硬件故障以及執(zhí)行相應的操作維護。由于功能廣泛，使得該軟件平臺成為攻擊者的一個強有力的”集火“目標，攻擊者希望破壞此類系統(tǒng)以控制受管理的 PLC。

在CISA揭露的10個缺陷中，有 3 個涉及敏感數(shù)據(jù)的明文存儲，4 個涉及使用硬編碼加密密鑰，2 個涉及使用硬編碼密碼，1 個涉及憑證保護不足。最嚴重的漏洞CVE-2022-25164和CVE-2022-29830的 CVSS 評分高達 9.1，可在無需任何權(quán)限的情況下被濫用，以獲取對 CPU 模塊的訪問權(quán)限并獲取有關(guān)項目文件的信息。

三菱表示，工程軟件是工業(yè)控制器安全鏈中的一個關(guān)鍵組成部分，如果其中出現(xiàn)任何漏洞，對手可能會濫用它們最終危及托管設備，從而危及受監(jiān)管的工業(yè)過程。

CISA也提到了一個CVSS 評分為8.6的MELSEC iQ-R 系列中的拒絕服務 (DoS) 漏洞信息，并指出由于缺乏適當?shù)妮斎腧炞C，成功利用此漏洞可能允許未經(jīng)身份驗證的遠程攻擊者通過發(fā)送特制數(shù)據(jù)包，在目標產(chǎn)品上造成拒絕服務。

緩解措施

三菱已經(jīng)宣布相關(guān)補丁將在不久之后發(fā)布，在此之前建議應用以下緩解措施：

• 盡可能限制不受信任方訪問安全 CPU 項目文件；
• 在傳輸和靜止時充分保護安全 CPU 項目文件（例如通過加密）；
• 更改安全 CPU 模塊上設置的所有弱密碼；
• 切勿重復使用相同的憑據(jù)打開安全 CPU 項目文件和訪問安全 CPU 模塊。