原文地址:http://www.ics-cert.com.cn/?p=140
概述
NCCIC/ICS-CERT从Zero Day Initiativea (ZDI)得到了一份报告,关于Ecava Sdn Bhd IntegraXor的项目目录信息泄露漏洞。这一漏洞是由安全研究者Alphazorx aka technically.screwed报告给ZDI的。Ecava Sdn Bhd已经发布了更新来修补这一漏洞。这一漏洞可以被远程利用。
影响产品
如下版本的Ecava Sdn Bhd IntegraXor将会被影响:
- Ecava Sdn Bhd IntegraXor - 4.1.4360及早期版本。.
影响范围
攻击者可以构建一个特殊的URL来下载项目目录中的文件,从而影响了系统的保密性。
对于每个组织机构的影响取决于每个组织特有的多方面因素。NCCIC/ICS-CERT建议各组织机构基于自身的操作环境、架构和产品情况来评估这些漏洞产生的影响。
背景
Ecava Sdn Bhd是一家马来西亚的软件开发公司,主要提供IntegraXor的SCADA产品。EcavaSdn Bhd公司专注于工厂自动化和过程自动化解决方案。
受影响的产品IntegraXor是一套工具,用来为SCADA系统,创建和运行基于Web的人机交互环境。IntegraXor当前主要应用在流程控制领域,遍及38个国家,主要为英国、美国、澳大利亚、波兰、加拿大和爱沙尼亚。
漏洞特征
漏洞概述
未授权的文件访问b
IntegraXor没有正确的设置项目目录中的文件访问权限。攻击者可以构建特殊的URL从系统项目目录来下载项目备份文件,而不需要任何的授权。
本漏洞的漏洞编号为CVE-2014-0752c。CVSS v2的分数为7.5;CVSS向量字符串为(AV:N/AC:L/Au:N/C:P/I:P/A:P).d
漏洞详细信息
漏洞利用
漏洞可以被远程利用
Exp代码
没有发现针对此漏洞的攻击代码。
难度
很低技术的攻击者就可以利用此漏洞。
解决办法
Ecava Sdn Bhd已经发布了客户注意事项,详细的介绍了这一漏洞,并为用户提供了解决办法。Ecava Sdn Bhd建议用户从他们的支持网站上下载并安装更新版的IntegraXorSCADA Server 4.1.4369:
http://www.integraxor.com/download/beta.msi?4.1.4369
更多的信息请参考Ecava的漏洞记录:
http://www.integraxor.com/blog/category/security/vulnerability-note/
NCCIC/ICS-CERT鼓励所有者采取额外的措施来保护这些风险及其他的安全风险。
- 尽可能的少暴露控制系统设备或系统自身的网络,并确保他们不被互联网访问。
- 在本地控制系统网络和远程设备之间部署防火墙,并将控制网络与企业网络隔离。
- 如果需要远程访问,采用安全的方法,例如VPN,VPN被认为是唯一安全的访问方式。
NCCIC/ICS-CERT当然还提供了针对工业控制信息安全方面的建议在此路径下:
http://ics-cert.us-cert.gov/content/recommended-practices.很多建议是可以读的,并且可以下载,包括《采用纵深防御策略来提高工业控制系统信息安全》。NCCIC/ICS-CERT 建议各部门进行在部署安全防御时,先适当的进行安全分析和风险评估。
其他相关的解决方案指导和建议发布在了NCCIC/ICS-CERT的技术信息文章上,ICS-TIP-12-146-01Be,该文章可以在NCCIC/ICS-CERT的网站上下载。
各组织机构如果发现了一些有恶意嫌疑的程序,可以将其报告给NCCIC/ICS-CERT来跟踪和对应这些意外。
参考文档
- a.Ecava IntegraXor Project Directory Information Disclosure Vulnerability, http://www.zerodayinitiative.com/advisories/ZDI-13-277/, Web site last accessed January 08, 2014.
- b.CWE-529: Exposure of Access Control List Files to an Unauthorized Control Sphere, http://cwe.mitre.org/data/definitions/529.html, Web site last accessed January 08, 2014.
- c.NVD, http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0752, NIST uses this advisory to create the CVE Web site report. This Web site will be active sometime after publication of this advisory.
- d.CVSS Calculator, http://nvd.nist.gov/cvss.cfm?version=2&vector=AV:N/AC:L/Au:N/C:P/I:P/A:P, Web site last accessed January 08, 2014.
- e.Targeted Cyber Intrusion Detection and Mitigation Strategies, http://ics-cert.us-cert.gov/tips/ICS-TIP-12-146-01B, Web site last accessed January 08, 2014.