131 1300 0010
Applied Risk安全專家發現瑞士工業技術公司ABB生產的某些網關受潛在嚴重漏洞影響,而壞消息是,由于受影響產品已超過使用期限,供應商將不會發布固件更新。
安全公司發布安全公告,公布ABB Pluto Gateway產品GATE-E1與GATE-E2中兩個漏洞的技術細節。
ABB網關解決方案允許ABB可編程邏輯控制器(PLC)與其他控制系統進行通信。
ABB發布安全公告稱,“在ABB GATEE1/E2設備中發現兩個漏洞。這些發現包括設備管理界面上無任何身份驗證,以及存在未經身份驗證的持久型跨站腳本漏洞。”
“發現這些問題后,ABB已停用GATE-E2,而設備E1早已超出使用期限。”
這些設備并未在telnet/web管理界面實現身份驗證,這些缺陷可被用來更改設備設置并通過不斷重置產品導致拒絕服務環境。
根據Applied Risk分配,這些缺陷CVSS v3基本分數為9.8。
ABB PLC網關
專家還發現一個持久型跨站腳本(XSS)漏洞,攻擊者可利用該漏洞通過管理HTTP與telnet接口注入惡意代碼。當合法管理員訪問設備的web門戶時,將執行惡意操作。該缺陷嚴重程度評級為“高危”。
ABB還為缺失的身份驗證與XSS漏洞發布了單獨的公告。ABB將向客戶發送操作指南,指導用戶保護其安裝的設備。
好消息是專家并未在公開的網絡上發現利用這些漏洞的攻擊。
