当地时间11月20号,美国ICS-CERT通报了施耐德电力(Schneider Electric)的M221全系列可编程逻辑控制器(PLC)设备存在数据真实性验证不足漏洞的情况。CNCERT下属的工业互联网安全应急响应中心(http://www.ics-cert.org.cn)针对漏洞情况进行了分析,并对国内相关联网资产进行了在线监测,具体情况通报如下:
一、漏洞情况分析
M221系列产品是施耐德电力公司所设计研发的可编程逻辑控制器。其支持以太网及Modbus通信。
安全研究人员发现,施耐德电力的M221全系列PLC设备存在数据真实性验证不足漏洞。分析表明,该漏洞是由于UMAS协议中不正确的网络模块配置造成的,可允许攻击者远程修改IPv4网络配置参数来拦截目标PLC的网络流量,阻碍设备正常网络通信。
二、漏洞影响范围
该漏洞的综合评级为“高危”。
根据生产厂商以及漏洞研究者的测试结果,受到该漏洞影响的设备为
-
TM221CE40R
-
TM221CE40T
-
TM221C16U
-
TM221CE16U
-
TM221C24U
-
TM221CE24U
-
TM221C40U
-
TM221CE40U
-
TM221C16R
-
TM221C16T
-
TM221C24R
-
TM221C24T
-
TM221C40R
-
TM221C40T
-
TM221CE16R
-
TM221CE16T
-
TM221CE24R
-
TM221CE24T
共18个相关设备。截止当前,我中心通过监测手段发现了部分暴露在互联网上的相关设备,详细信息见附录一、二。
三、漏洞处置建议
目前厂商已发布解决上述漏洞的安全防护措施,建议相关用户及时检查更新。
详情请关注厂商网站的相关信息:https://www.schneider-electric.com/en/download/document/SEVD-2018-270-01/
此外,建议相关用户应采取的其他安全防护措施如下:
(1)设置防火墙,阻止对端口502的所有远程/外部访问。
(2)在Modicon M221应用程序中,用户应禁用所有未使用的协议,尤其是编程协议,以阻止M221 PLC的远程编程。
(3)确保控制器处于锁定的机柜中,非必要时不启用“Program”模式。
(4)最大限度地减少所有控制系统设备及系统暴露在外网环境,并确保无法从外网访问它们。
工业互联网安全应急响应中心将持续跟踪漏洞处置情况,如需技术支持,请及时与我们联系。
联系电话:010-82992157
邮箱:ics-cert@cert.org.cn
网站:www.ics-cert.org.cn
微信公众号:工业互联网安全应急响应中心
相关安全公告链接参考如下:https://ics-cert.us-cert.gov/advisories/ICSA-18-324-02
附录一国内暴露在互联网的该漏洞相关网络资产信息
设备型号 |
省份 |
城市 |
区县 |
运营商 |
IP地址 |
TM221CE40R |
安徽市 |
黄山市 |
黟县 |
电信 |
114.104.**.** |
TM221CE40R |
安徽市 |
黄山市 |
黟县 |
电信 |
114.104.**.** |
TM221CE40T |
台湾省 |
台北市 |
中山区 |
中华电信 |
59.124.**.** |
TM221CE16T |
台湾省 |
台北市 |
南屯区 |
中华电信 |
61.216.**.** |
附录二国内暴露在互联网的该漏洞相关网络资产分布图
声明:本文来自工业互联网安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。