满分严重漏洞导致 MB-Gateway 设备易受远程攻击

最新推荐文章于 2025-05-26 16:19:47 发布
最新推荐文章于 2025-05-26 16:19:47 发布
阅读量27 收藏
点赞数
文章标签: gateway
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247523092&idx=2&sn=a5febb5cf97d5b007d31e1d71c58244a&chksm=eb53e273ba701ec937169bba860bf053b77bdfd0c96d1b35cf86f415d29fa9564308503069e0&scene=126&sessionid=0
版权

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

由工业自动化公司 AutomationDirect 制造的 MB-Gateway 设备因受严重漏洞影响,易受远程攻击。

CISA 在本周二披露了该漏洞,并在安全通告中提到,易受攻击的 Modbus 网关产品的客户遍布全球,其中一些用于关键基础设施。

该漏洞的编号是CVE-2025-36535,CVSS评分为10分,是因该产品的嵌入式webserver 中存在一个认证缺失问题导致的,可导致不受限制的远程访问后果。

CISA 提到,该产品的硬件限制阻止了正确访问控制更新的实现,而AutomationDirect已建议用户通过 EKI-1221-CE 网关取代 MB-Gateway 产品。

发现该漏洞的 Microsec 公司的研究员 Souvik  Kandar 提到,该漏洞可从互联网远程利用,超过100台暴露在网络的设备可能受影响。任何用于互联网访问权限的人员无需任何凭据即可访问配置面板。被暴露的界面泄露敏感设备参数如内部IP、固件版本、Modbus 配置和序列通信设置。他提到,该漏洞如遭利用可在某些工业环境中造成严重影响。

攻击者可远程修改设备配置、破坏或操纵系统间的 Modbus 通信、获取详细的网络和系统信息用于横向移动,以及在某些配置下(取决于网关如何继承以及暴露了哪些功能),攻击者可执行任意代码。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

美国:黑客正在攻击油气组织机构的 ICS/SCADA

NIST、CISA联合提出漏洞利用概率度量标准

CISA:速修复已遭利用的 CentreStack 和 Windows 0day漏洞

OpenAI:伊朗国家黑客利用 ChatGPT 密谋 ICS 攻击

mySCADA myPRO中存在多个严重漏洞,可导致攻击者接管工控系统

原文链接

https://www.securityweek.com/critical-flaw-allows-remote-hacking-of-automationdirect-industrial-gateway/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

高危安全漏洞风险提示:Oracle7月修复Weblogic Server严重RCE漏洞
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-08 716
Oracle 解决的最严重问题之一是通过 Oracle WebLogic Server Web 服务中的 XMLDecoder 存在的严重反序列化漏洞。该 CVE-2019 年至 2729 年的漏洞就是可通过未经认证的攻击者利用的远程执行代码漏洞。高危安全漏洞风险提示:Oracle7月修复Weblogic Server严重RCE漏洞. “此安全警报解决了 CVE-2019-2729,这是一个通过 Oracle WebLogic Server Web 服务中的 XMLDecoder 实现的反序列化漏洞。该远
linux个人学习文档
菜鸟程序员的博客
09-09 3869
Linux系统基础第1章 Linux简介1.1开源的力量1.1.1 我们已经用过的开源软件1.1.2 开源软件领域的旗帜:Linux1.1.3 软件开源的好处1.2 Linux的来历1.2.1 Unix的尴尬1.2.2 用于教学的Minix1.2.3 受到启发的Linux1.3. Linux是什么?1.3.1 Linux是一款开源免费的操作系统。1.3.2 Linux的优势1.4. Linux内核与她的各种发行版第2章 Linux安装2.1 查看虚拟化支持2.2 安装VMWare软件2.3 创建虚拟机2.4
[240528] git 漏洞 CVE-2024-32002 | ChatGPT Plus vs API 成本比较
edwinjhlee的博客
05-28 786
- git 注入漏洞 | CVE-2024-32002 - ChatGPT Plus vs API: 成本比较
CVE-2022-41852.zip + 漏洞环境 + 利用poc
01-22
在实际的漏洞利用过程中,攻击者可能会事先对目标环境进行侦察,以确定是否存在易受攻击的 Apache Commons JXPath 组件。一旦确认目标服务器上部署了易受攻击的版本,攻击者就可以精心构造攻击载荷,通过网络发送到...
高考作文议论文写作指导7种方法让你议论文得满分------.pdf
10-07
高考作文议论文写作指导7种方法让你议论文得满分------.pdf
2007高考满分作文:怀想天空-实话实说(江苏).doc
02-07
2007高考满分作文:怀想天空-实话实说(江苏).doc
Spring Cloud Gateway高并发限流——基于Redis实现方案解析
weixin_50236329的博客
05-22 1112
该方案支持动态配置、多维度限流(API路径/IP/用户),并包含完整的代码实现和性能优化建议。该方案已在多个千万级DAU的电商系统中验证,可支撑每秒2万+的限流判断请求,端到端延迟控制在5ms以内。本文是一个基于 Spring Cloud Gateway 的分布式限流方案,使用Redis +Redis集群化:至少3主节点保障高可用。• Redis集群:6节点(3主3从)• Redis内存使用率 >80%• 网关节点线程池活跃度 >90%• 限流拒绝率连续5分钟 >10%• 网关节点:4C8G × 3。
API Gateway CLI 实操入门笔记(基于 LocalStack)
GoldenaArcher的博客
05-26 608
Tags: aws主要先简单的走一下流程,熟悉一下在 terminal 操作 API Gateway
Spring Cloud Gateway 限流实践:基于 Redis 令牌桶算法的网关层流量治理
xiaofanguan的博客
05-26 566
在微服务架构中,API 网关作为流量枢纽,需对进入系统的请求进行精细化限流,以保护下游服务免受流量冲击。Spring Cloud Gateway 结合 Redis 实现的令牌桶算法,为网关层限流提供了高效、分布式的解决方案。本文将深入解析其原理、配置及实践优化。 2. Redis 连接配置() 3. 定义限流维度() 4. 网关路由与限流配置() 5. 自定义限流响应(全局异常处理) 四、高级特性与优化 1. 动态限流参数 通过配置中心(如 Nacos)动态更新限流参数,实现热更新: 2. 多维度组
springcloud---gateway
lipviolet的博客
05-26 826
是的,chain.filter(exchange) 和 proceedingJoinPoint.proceed() 在语义上确实非常相似,它们都表示。所以从行为上来看,过滤器的本质确实可以看作是一种 AOP(面向切面编程)思想的体现,尽管它并不是 Spring AOP 的直接实现。,尽管它并不是 Spring AOP 的直接实现。虽然 Gateway 过滤器不是传统意义上的 Spring AOP 实现,但它。Context 适合异步非阻塞,ThreadLocal 适合同步阻塞,对吗?
第五讲电子商务安全.ppt
05-26
第五讲电子商务安全.ppt
运用Matlab的LBP算法实现面部表情识别与特征分割 图像处理 指南
05-26
内容概要:本文探讨了利用Matlab和LBP(局部二值模式)算法进行面部表情识别的技术。首先介绍了Matlab作为一种强大工具,在科学计算和图像处理领域的广泛应用背景。接着详细阐述了LBP算法的工作原理及其在图像分析中的优势,特别是对于描述图像局部纹理特征的能力。随后重点讲解了LBP算法在脸部特征分割中的具体步骤,包括图像预处理、特征提取以及最终的表情识别过程。通过对一系列实验数据的分析,证明了这种方法的有效性和准确性。 适合人群:从事计算机视觉、图像处理相关工作的研究人员和技术爱好者。 使用场景及目标:适用于需要对面部表情进行自动识别的应用场合,如安防监控、人机交互系统等。目标在于提供一种高效可靠的面部表情识别解决方案。 其他说明:文中提到的LBP算法不仅能够很好地捕捉到人脸的关键部位特征,而且还能有效地减少噪声干扰,提高了识别率。此外,作者还展望了未来可能的研究方向,比如优化现有算法以提升性能表现。
MATLAB微网优化调度:两阶段鲁棒CCG算法经济调度的详细研究 说明
05-26
内容概要:本文深入探讨了基于MATLAB的微网优化调度,特别是采用两阶段鲁棒优化模型和CCG算法来实现经济调度。通过构建min-max-min结构的两阶段鲁棒优化模型,考虑储能、需求侧负荷及可控分布式电源的运行约束和协调控制,并引入不确定性调节参数,使调度方案能够适应不同场景。利用列约束生成算法和强对偶理论,将原问题分解为主问题和子问题交替求解,提高了求解效率。最终,在MATLAB平台上利用YALMIP工具箱调用CPLEX求解器进行了仿真分析,验证了模型和算法的有效性。 适合人群:从事电力系统优化调度的研究人员和技术人员,尤其是对微网优化调度感兴趣的学者和工程师。 使用场景及目标:适用于需要优化微网调度策略,降低成本并提高能源利用效率的实际应用场景。目标是在最恶劣场景下找到运行成本最低的调度方案,同时确保系统的稳定性。 其他说明:本文提供的代码注释详实,出图效果好,适合用于教学和科研项目。
工业自动化中昆仑通态触摸屏控制ABB变频器的技术实现与应用
05-26
内容概要:本文详细介绍了昆仑通态触摸屏控制ABB变频器的技术实现过程及其应用场景。首先简述了昆仑通态触摸屏技术和ABB变频器的基本概念,接着重点讲解了两者之间的硬件连接和软件编程方法,包括具体的代码示例。文中还探讨了该技术在多个行业的广泛应用及其带来的诸多优势,如操作简便、节能高效等。 适合人群:从事工业自动化领域的工程师和技术人员,尤其是对触摸屏控制技术和变频器有研究兴趣的人士。 使用场景及目标:适用于机械制造、化工、纺织、食品加工等多个行业,旨在提升生产线的自动化水平,优化设备操作流程,达到节能增效的目的。 其他说明:随着工业自动化的快速发展,此类技术将在更多领域得到推广和应用。文中提供的代码片段有助于读者快速上手实践,加深对该技术的理解。
“终极版本的asdf文件压缩包”
05-26
假设使用一个带权有向图来表示某地区的公交线路网络,图中的顶点对应区域内的重要站点,有向边代表已开通的公交线路,边上的权重则表示乘坐该线路的票价或所需时间。在此基础上,设计一款交通指南系统,为使用者提供从该区域内的一个站点出发,以最低票价或最短时间到达另一个站点的最优路径指导。
《高校校园网络系统全面规划方案》
最新发布
05-26
本项目旨在构建一个校园网络系统,覆盖教学楼、实验楼、科教楼、图书馆、男生宿舍、女生宿舍以及行政楼等六栋建筑。该网络将搭建校园内部的局域网(INTRANET),并具备接入中国教育和科研计算机网(CERNET)与中国公用计算机互联网(CHINANET)的能力。通过该网络系统,可实现多媒体教学、教学管理、办公自动化、远程教育以及连接因特网等多项功能。项目附带了相应的pkt文件,文档内容完整,可直接投入使用。
伟创SD600伺服EtherCAT系统电路图、代码及使用说明
05-26
内容概要:本文档详细介绍了伟创SD600方案伺服EtherCAT系统的电路图、代码以及使用说明。首先,提供了电路图,展示设备的电气连接和组件布局,作为安装、调试和维护的基础。其次,解释了关键代码的功能,包括初始化、控制、诊断和通信代码,确保设备正常运行。最后,给出了详细的使用说明,涵盖设备安装、参数设置、调试步骤和维护保养方法,并强调了操作的安全性和规范性。 适合人群:从事工业自动化领域的工程师和技术人员,特别是那些需要理解和操作伟创SD600伺服EtherCAT系统的人员。 使用场景及目标:适用于设备的初次安装、日常调试、参数调整和故障排查。目标是帮助用户掌握设备的操作流程,确保设备的高效、安全运行。 其他说明:文档还特别提醒用户在操作过程中严格遵守说明书的要求,以防止误操作带来的风险。遇到问题时,建议及时联系厂家或专业人员寻求帮助。
FPGA UART串口通信Verilog源码实现及其应用
05-26
内容概要:本文介绍了基于FPGA的UART串口通信的Verilog源码实现方法,重点讲解了如何通过Verilog HDL描述UART的硬件结构与行为,支持自定义配置波特率、数据位和校验位等功能。文章详细解析了UART模块的设计流程,包括模块定义、波特率与数据位控制、发送与接收逻辑等方面的内容。同时探讨了该UART模块的实际应用场景,如嵌入式系统和工业控制等领域,并提出了增加调试和测试功能的方法以提升系统性能。 适合人群:对FPGA和Verilog有一定了解的硬件工程师、嵌入式开发者和技术爱好者。 使用场景及目标:① 学习如何用Verilog编写UART模块;② 掌握UART通信的基本原理和实现方式;③ 将UART模块应用于实际项目中,如嵌入式系统和工业控制系统。 其他说明:文章不仅提供了详细的代码示例,还强调了在实际应用中需要注意的各种因素,如硬件资源、通信速度和可靠性等。
基于Excel和Python的SVN冲突解决与Json配置系统.zip
05-26
基于Excel和Python的SVN冲突解决与Json配置系统.zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值