MitsubishiElectricMELSEC可编程控制器超危漏洞实例分析

Mitsubishi Electric MELSEC可编程控制器超危漏洞实例分析,很多新手对此不是很清楚,为了帮助大家解决这个难题,下面小编将为大家详细讲解,有这方面需求的人可以来学习下,希望你能有所收获。

创新互联建站长期为近1000家客户提供的网站建设服务,团队从业经验10年,关注不同地域、不同群体,并针对不同对象提供差异化的产品和服务;打造开放共赢平台,与合作伙伴共同营造健康的互联网生态环境。为玉泉企业提供专业的成都网站建设、成都网站设计,玉泉网站改版等技术服务。拥有十余年丰富建站经验和众多成功案例,为您定制开发。

美国网络安全和基础设施安全局(CISA)于6月23日发布安全公告,披露Mitsubishi Electric MELSEC中存在一个安全漏洞。MELSEC是日本Mitsubishi Electric公司生产的可编程控制器,MELSEC包括iQ-R、iQ-F、Q等多个系列,在世界范围内主要用于关键制造行业。

Mitsubishi Electric MELSEC中存在的漏洞是个信息泄露漏洞,该漏洞编号为CVE-2020-14476,CVSS v3评分为10.0。

根据美国CISA发布的公告内容,该漏洞源于Mitsubishi Electric MELSEC iQ-R,iQ-F,Q,L和FX系列CPU模块,和GX Works3/GX Works2之间以明文形式传输敏感信息。该漏洞可带来一系列潜在风险,成功利用该漏洞,攻击者可泄露信息、篡改信息、未授权执行操作或造成拒绝服务。

据悉,该漏洞是由浙江大学NESC课题组发现并报告给Mitsubishi Electric公司的。攻击者可远程利用该漏洞,且对该漏洞的利用无需高深的技术。

Mitsubishi Electric建议用户通过设置VPN对通信路径加密,来缓解该漏洞造成的影响。美国CISA也建议用户采取防御性措施,将该漏洞被利用的风险降到最低。具体如下:

Ø  对于所有控制系统设备和系统,最小化其网络暴露,并确保从互联网上无法访问这些设备和系统;

Ø  确定部署在防火墙后面的控制系统网络和远程设备的位置,并将它们与业务网络隔离;

Ø  当需要远程访问时,使用VPN等安全方法,同时意识到VPN可能也有漏洞,应保持更新最新的可用版本,还要明白只有被连接的设备是安全的,VPN也才安全。

看完上述内容是否对您有帮助呢?如果还想对相关知识有进一步的了解或阅读更多相关文章,请关注创新互联行业资讯频道,感谢您对创新互联的支持。


网页名称:MitsubishiElectricMELSEC可编程控制器超危漏洞实例分析
浏览地址:http://myzitong.com/article/gpehgs.html