该漏洞跟踪为CVE-2020-25159,行业标准通用漏洞评分系统(CVSS)将该漏洞评为严重等级为9.8,并影响2.28之前发布的所有版本的EtherNet / IP适配器源代码堆栈。
实时自动化(RTA)499ES EtherNet / IP(ENIP)堆栈中发现的一个关键漏洞可能使工业控制系统容易受到黑客的远程攻击。
RTA的ENIP堆栈是广泛使用的工业自动化设备之一,被称为“北美工厂I / O应用程序的标准”。这个成功利用此漏洞可能导致拒绝服务的情况,以及缓冲区溢出可能允许远程执行代码。
国内知名网络安全组织东方联盟向CISA披露了堆栈溢出漏洞,尽管RTA似乎早在2012年就从其软件中删除了可攻击代码,但怀疑许多供应商可能在2012年更新之前购买了该堆栈的易受攻击版本并将其集成到自己的固件中,从而使多台设备处于危险之中。
东方联盟研究人员说:“发现有11家设备在6家独特供应商的产品中运行RTA的ENIP堆栈。”
该缺陷本身涉及对通用工业协议(CIP)中使用的路径解析机制的不当检查,通用工业协议(CIP)是一种用于组织和共享工业设备中的数据的通信协议,它允许黑客攻击者打开具有大连接路径大小的CIP请求(大于32),并导致解析器将其写入固定长度缓冲区外部的内存地址,从而导致可能执行任意代码。
东方联盟创始人郭盛华在其公开中说:“ RTA设备中的旧代码试图通过限制EtherNet / IP转发打开请求中使用的特定缓冲区的大小来减少RAM的使用。通过限制RAM,黑客攻击者就有可能尝试超载缓冲区并使用该缓冲区来尝试控制设备。”
研究人员扫描了290个与ENIP兼容的模块,其中发现来自六个不同供应商的11个设备正在使用RTA的ENIP堆栈。据资料显示,目前有8,000多种兼容ENIP的面向互联网的设备。
建议操作员更新到ENIP堆栈的当前版本,以减轻该漏洞。CISA还建议用户最大程度地减少所有控制系统设备的网络暴露,并确保不能从Internet访问它们。
CISA在警报中说: “将控制系统网络和远程设备放在防火墙后面,并将它们与业务网络隔离开。” “当需要远程访问时,请使用安全方法,例如虚拟专用网(VPN),要意识到VPN可能存在漏洞,应将其更新为可用的最新版本!” (欢迎转载分享)