======================================================================
原文地址:http://ics-cert.us-cert.gov/alerts/ICS-ALERT-14-015-01
译文地址:http://www.ics-cert.com.cn/?p=167
译文地址:http://blog.csdn.net/icscert/article/details/18822011
译文作者:ICS-CERT
======================================================================
NCCIC/ICS-CERT注意到一个公开的缓冲区溢出漏洞报告,提供了了对于EcavaIntegraXor的概念性漏洞利用代码,Ecava IntegraXor是一个监控和数据采集人机接口(SCADA/HMI)产品。从此报告可知,通过在程序的主文件夹中放置一个可执行dll,通过命令利用此漏洞,可以加载可执行资源。这一份报告由Luigi Auriemma在2014年福罗里达州迈阿密的S4会议上发布,没有通知其他厂商或者NCCIC/ICS-CERT。NCCIC/ICS-CERT已经通知了厂商关于此报告,并要求厂商确认此漏洞,并进行修补。NCCIC/ICS-CERT发布此报警,来事先通报这一报告,并采取基本的处理方法,来减少这些风险和其他网络安全攻击。
报告包括了漏洞的详细和概念性漏洞利用代码:
漏洞类型 | 是否可以远程利用 | 产生影响 |
缓冲区溢出 | 是 | 拒绝服务 |
如下版本的EcavaIntegraXor将被影响,及其之前的版本也可能受到影响:
- IntegraXor Version 4.1.4380
EcavaSdn Bhd是一家马来西亚的软件开发公司,主要提供IntegraXor的SCADA产品。EcavaSdn Bhd公司专注于工厂自动化和过程自动化解决方案。
受影响的产品IntegraXor是一套工具,用来为SCADA系统,创建和运行基于Web的人机交互环境。IntegraXor当前主要应用在流程控制领域,遍及38个国家,主要为英国、美国、澳大利亚、波兰、加拿大和爱沙尼亚。
跟进
ICS-CERT于2014年1月16日,发布了进一步的公告
ICSA-14-016-01 Ecava IntegraXorBuffer Overflow Vulnerability,
解决办法
NCCIC/ICS-CERT正尝试协助厂商和安全研究者来完成解决办法。
NCCIC/ICS-CERT鼓励用户采取防御措施,尽量减少漏洞被利用的风险。用户应该采取如下方法:
- 尽可能的少暴露控制系统设备或系统自身的网络,并确保他们不被互联网访问。
- 在本地控制系统网络和远程设备之间部署防火墙,并将控制网络与企业网络隔离。
- 如果需要远程访问,采用安全的方法,例如VPN,VPN被认为是唯一安全的访问方式。
NCCIC/ICS-CERT建议各部门进行在部署安全防御时,先适当的进行安全分析和风险评估。
NCCIC/ICS-CERT当然还提供了针对工业控制信息安全方面的建议在此路径下:
http://ics-cert.us-cert.gov/content/recommended-practices.很多建议是可以读的,并且可以下载,包括《采用纵深防御策略来提高工业控制系统信息安全》。
其他相关的解决方案指导和建议发布在了NCCIC/ICS-CERT的技术信息文章上,ICS-TIP-12-146-01Be,该文章可以在NCCIC/ICS-CERT的网站上下载。
各组织机构如果发现了一些有恶意嫌疑的程序,可以将其报告给NCCIC/ICS-CERT来跟踪和对应这些意外。
- a.NCCIC/ICS-CERT ALERT, http://ics-cert.us-cert.gov/alerts/ICS-ALERT-10-301-01, Web site last accessed January 15, 2014.