文章地址:http://www.ics-cert.com.cn/?p=136
概述
本公告是ICSA-11-094-02A公告的更新版,ICSA-11-094-02A公告于2011年11月4日在NCCIC/ICS-CERT网站发布,公布了Adavantech/Broadwin的WebAccess RPC漏洞。
--------- 更新第一部分开始 --------
独立的安全研究者Rubén Santamarta已经将发现了Advantech的WebAccess产品和原来的BroadWin的WebAccess软件中的远程调用(RPC)漏洞,并发布了漏洞利用代码。WebAccess是一个基于web浏览器的人机交互界面(HMI)产品。这一RPC漏洞影响了WebAccess的TCP协议端口号4592的网络服务,并允许远程代码执行。
Advantech已经为用户提供了一个免费的WebAccess更新版本,来减轻这一漏洞带来的影响。
--------- 更新第一部分结束 ----------
影响产品
--------- 更新第二部分开始 --------
这一漏洞影响的产品版本是7.1 2013.05.30之前的所有版本,包括原来所有的WebAccess,无论是Advantech的WebAccess还是BroadWin的WebAccess。
--------- 更新第二部分结束 ----------
影响范围
成功的触发这一漏洞可以使得攻击者能够远程执行任意代码。
对于每个组织机构的影响取决于每个组织特有的多方面因素。NCCIC/ICS-CERT建议各组织机构基于自身的操作环境、架构和产品情况来评估这些漏洞产生的影响。
背景
--------- 更新第三部分开始 --------
Advantech/Broadwin的WebAccess是一个基于web的HMI产品,主要用于能源、制造业和楼宇自动化系统。产品分布范围包括亚洲、北美中美和南美、北非、中东和欧洲。WebAccess的客户端软件可以运行在windows 2000、XP、Vista、Server 2003、Windows 7和Windows8上,瘦客户端可以运行在Windows CE和Windows Mobile 5.0上。
--------- 更新第三部分结束 ----------
漏洞特征
漏洞概述
--------- 更新第四部分开始 -------
代码注入a
这一RPC漏洞存在于WebAccess的网络服务,该服务使用了TCP协议上的4592端口。这一漏洞被定义为CVE-2011-4041b 。CVSS v2的分数为10.0;CVSS向量字符串是 (AV:N/AC:L/Au:N/C:C/I:C/A:C).c
--------- 更新第四部分结束 ----------
漏洞详细信息
漏洞利用
攻击者可以通过一个远程机器,不需要用户交互就可以对此漏洞进行利用
Exp代码
关于此漏洞的exp代码已经被公开发布。
难度
对于此漏洞的漏洞利用需要中等技术水平的人。
解决办法
--------- 更新第五部分开始 --------
研华(Advantech)已经发布了最新版本的WebAccess,该版本的WebAccess修补了这一漏洞。用户应该毫不犹豫的将之前的WebAccess版本升级到最新版本。下载最新版本的WebAccess(V 7.1 2013.05.30)请点击Advantech网站的连接:
http://support.advantech.com.tw/support/DownloadSRDetail_New.aspx?SR_ID=1-MS9MJV&Doc_Source=Download.
研华(Advantech)也创建了如下子站点,来分享WebAccess的更多的信息。
http://webaccess.advantech.com/.
在最新版本发布前,使用WebAccess的用户请参照如下由研华(Advantech)提供的WebAccess安装手顺中关于安全方面的建议。
http://advantech.vo.llnwd.net/o35/www/webaccess/driver_manual/Advantech-WebAccess-User-Manual.chm.
如果需要更多帮助,请联系研华(Advantech) +1-877-451-6868.
--------- 更新第五部分结束 ----------
各组织机构如果发现了一些有恶意嫌疑的程序,可以将其报告给NCCIC/ICS-CERT来跟踪和对应这些意外。NCCIC/ICS-CERT建议各组织机构在部署安全防御措施时,先适当的进行安全分析和风险评估。
NCCIC/ICS-CERT也提供了针对工业控制信息安全方面的建议在此路径下:
http://ics-cert.us-cert.gov/content/recommended-practices.
很多建议是可以读并可以下载的,包括《采用纵深防御策略来提高工业控制系统信息安全》。
参考文档
- a.CWE-94: Improper Control of Generation of Code ('Code Injection'), http://cwe.mitre.org/data/definitions/94.html, Web site last accessed January 07, 2014.
- b.NVD, http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-4041, NIST uses this advisory to create the CVE Web site report. This Web site will be active sometime after publication of this advisory.
- c.CVSS Calculator, http://nvd.nist.gov/cvss.cfm?version=2&vector=AV:N/AC:L/Au:N/C:C/I:C/A:C, Web site last accessed January 07, 2014.
- d.Control System Security Program (CSSP) Recommended Practices, http://ics-cert.us-cert.gov/sites/default/files/recommended_practices/De..., last accessed January 07, 2014.