绿盟科技挖出10个工控Sarix Pro网络摄像头安全漏洞 施耐德致谢
27日,工控厂商施耐德发布安全公告,确认其派尔高Sarix Pro网络摄像头产品存在10个安全漏洞,并提醒客户尽快升级固件。公告感谢绿盟 科技 发现了这些漏洞。据悉,绿盟科技工控安全研究团队后续将持续发布工业 互联网 安全性研究成果。
1个严重 8个高危 CVSS最高评分9.8
2017年11月,绿盟科技工控安全研究团队在工业互联网安全性研究过程中,发现了Pelco Sarix Professional工控网络摄像头存在安全性问题且威胁等级较高,随即将相关情况告知施耐德,并等待厂商发布补丁,便于客户做好防护准备。
2018年2月27日,施耐德发布安全性公告,建议客户尽快更新产品固件到3.29.67,以便修复如下这些漏洞:
1. CVE-2018-7227,Information Disclosure,CVSS 5.3(中威)
2. CVE-2018-7229,Authentication Bypass,CVSS 7.5(高危)
3. CVE-2018-7230,XML External Entity Vulnerability,CVSS 7.4(高危)
4. CVE-2018-7231,Command Execution - ‘system.opkg.remove’,CVSS 9.8(高危)
5. CVE-2018-7232,Command Execution - ‘network.ieee8021x.delete_certs’,CVSS 9.4(高危)
6. CVE-2018-7233,Command Execution - ‘model_name’ or ‘mac_address’,CVSS 9.4(高危)
7. CVE-2018-7234,Arbitrary File Download,CVSS 8.2(高危)
8. CVE-2018-7235,Command Execution - ‘system.download.sd_file’,CVSS 8.8(高危)
9. CVE-2018-7237,Arbitrary File Delete,CVSS 9.4(严重)
10. CVE-2018-7238,Buffer Overflow,CVSS 8.4(高危)
在公告中,施耐德感谢绿盟科技发现并归类这些漏洞。
目前该团队的研究还在继续,陆续发现国内外一批工业摄像头产品存在安全性问题,也将通告给设备相关厂商,请广大客户随时关注厂商及绿盟科技的相关安全性公告,及时更新补丁,有效避免安全风险的发生;同时建议使用相关摄像头产品的客户,尽快使用绿盟工控漏洞扫描系统进行检测,或联系绿盟科技提供相关的安全检测服务。
持续5年 绿盟科技工控安全研究与实践
报告类 2013年6月,绿盟科技发布第一份工控安全研究报告《2013年工业控制系统及其安全性研究报告》,随后持续数年发布相关研究报告,将累计的研究成果与业界分享。
合作类 2014年,同年绿盟科技作为发起单位,加入工业控制系统信息安全产业联盟。2015年3月,绿盟科技公告入股力控华康,将自身工控安全的技术积累与力控华康在工业控制领域的优势相结合。
产品类 2014年9月,绿盟科技发布国内第一款工业控制漏洞扫描系统ICSScan,2015年4月,绿盟工控漏洞扫描系统ICSScan获得发改委最高补贴800万元。在Sarix Pro漏洞事件中,ICSScan已经可以提供检测。
目前已经形成较为完善的工控安全产品系列,除漏扫外还包括绿盟工控防火墙、绿盟工控入侵检测系统、绿盟工业安全网关、绿盟工业安全隔离装置、绿盟工控安全审计系统。
解决方案类 2016年绿盟科技发布《工控安保框架白皮书》,为保障客户的业务顺利提供了中长期方案规划、设计和管理方案,并以此与工控领域合作伙伴展开深入合作及实践。
漏洞类 2016年8月,国外有研究员提出PLC蠕虫病毒概念,绿盟科技成功实践了工控PLC-Blaster蠕虫病毒,向厂商及业界公告防护方案,随后中国钢铁工业协会发文要求各单位防范该蠕虫病毒。
2017年5月,绿盟科技发现某国外厂商工控产品的3个高危DoS漏洞,且影响面较大,覆盖其系统管理软件及主流PLC产品,随后向厂商提交了这些信息并得到确认,涉及CVEID包括CVE-2017-2680\CVE-2017-2681\CVE-2017-6865。
恶意软件类 同月,绿盟科技截获工控勒索软件ClearEnergy和Scythe,随后发布分析报告指出,该勒索软件由于涉及硬件太多较难防御,相关厂商及客户应该引起足够重视。
随着中国制造2025和工业4.0走向深入,原有的独立、隔离的传统工控领域迎来了工业互联时代。绿盟科技工控安全研究团队也顺势而动,汇聚了多位工控安全领域的研究员及资深专家,持续深入研究国内外工控安全生态体系。
2017年9月1日,工信部《工业控制系统信息安全防护能力评估工作管理办法》已经正式实施,各行业组织、工控系统厂商以及信息安全厂商应该加强合作,共同帮助广大客户做好工业控制系统信息安全防护工作。