Emerson OpenEnterprise SCADA | 多个安全漏洞通告

发布时间 2020-05-29

0x00 漏洞概述


产品

CVE ID

类 型

漏洞等级

远程利用

影响范围

Emerson OpenEnterprise SCADA

CVE-2020-6970

BO

严重

Emerson OpenEnterprise SCADA Server 3.1-3.3.3,2.83版本

CVE-2020-10640

MA

严重

Emerson OpenEnterprise SCADA <= 3.3.4

CVE-2020-10632

IOM

高危

CVE-2020-10636

IES

中危


0x01 漏洞详情



Emerson Electric OpenEnterprise是美国艾默生电气(Emerson Electric)企业的一套主要用于远程石油和天然气应用的数据采集与监控系统(SCADA)。

近日,卡巴斯基的研究人员Roman Lozko发现了Emerson OpenEnterprise中的四个安全漏洞,这四个漏洞分别为基于堆的缓冲区溢出、缺少身份验证、所有权管理不当和弱加密问题,具体信息如下:

CVE-2020-6970是Emerson Electric OpenEnterprise SCADA Server中存在的缓冲区溢出漏洞,CVE-2020-10640是Emerson Electric OpenEnterprise中存在的安全漏洞。以上两个漏洞都被评级为“严重”,可以使攻击者在运行OpenEnterprise的设备上以提升的特权远程实行任意代码。

CVE-2020-10632是Emerson Electric OpenEnterprise中存在的安全漏洞,该漏洞源于程序为文件夹设置了不安全的权限。攻击者可利用该漏洞修改重要的配置文件,造成系统故障或异常。

CVE-2020-10636是Emerson Electric OpenEnterprise中存在的加密问题漏洞。攻击者可利用该漏洞获取OpenEnterprise用户帐户的密码。


0x02 处置建议


目前厂商已发布升级补丁以修复漏洞,详情请关注厂商主页:

https://www.emerson.com/


0x03 相关资讯


https://www.securityweek.com/vulnerabilities-found-emerson-scada-product-made-oil-and-gas-industry


0x04 参考链接


https://www.us-cert.gov/ics/advisories/icsa-20-049-02

https://www.us-cert.gov/ics/advisories/icsa-20-140-02


0x05 时间线


2020-05-29 VSRC发布漏洞通告