聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士
德国工业解决方案提供商 Phoenix Contact 上周通知客户称,公司多款产品中被曝10个漏洞。
Phoenix Contact 公司和德国 CERT@VDE 发布安全公告表示,这些漏洞是由多名研究员和公司报告的。该公司通过固件更新解决了其中很多缺陷,不过在某些情况下仅提供了阻止攻击的建议。
Phoenix Contact 公司的 TC 路由器、FL MGUARD 调制解调器、ILC 2050 BI 构建控制器和 PLCNext 产品受两个漏洞影响:一个是高危的安全绕过漏洞,一个是中危的拒绝服务漏洞。
SMARTRTU AXC 远程终端和自动化系统、CHARX 控制模块化交流充电控制器、EEM-SB37x 电表和 PLCNext 产品受高危漏洞影响,可被用于在设备上安装恶意固件。
该公司披露称 FL SWITCH SMCS 系列交换机受三个漏洞影响,可被用于发动DoS 和 XSS 攻击。XSS 漏洞可用于将恶意代码插入设备的 web 管理接口中。FL COMSERVER UNI 产品用于将序列接口集成到现有的以太网中,受一个高危 DoS 漏洞影响。
另外一份安全公告中说明的是 AXL F BK 和 IL BK总线耦合器中的一个漏洞。该缺陷和 FTP 访问权限中存在一个硬编码密码有关,可导致攻击者读取“设备抓取的监控信息”。
Phoenix Contact 公司的 ILC 1x1 工业控制器受高危 DoS 漏洞影响,该漏洞可通过特殊构造的 IP 数据包触发。
Phoenix Contact 公司在安全公告中指出,“Phoenix Contact Classic Line 工业控制器的开发和设计是为了用于闭源工业网络中。通信协议和设备访问权限并不具备认证措施。远程攻击者可利用这些特殊构造的 IP 数据包在 PLC 的网络通信模块上引起拒绝服务。”
上周发布的最后一份安全公告说明了 Automation Worx 软件套装中的一个远程代码执行漏洞。该漏洞被评为高危漏洞,但利用要求访问并操纵配置文件,并在受害者系统上进行解析。
推荐阅读
详解ThroughTek P2P 供应链漏洞对数百万物联网设备的安全新风险
原文链接
https://www.securityweek.com/high-severity-vulnerabilities-found-several-phoenix-contact-industrial-products
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
扫一扫
1559
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
