当前位置:安全资讯 >> 全文

台达电子修复 HMI 和 PLC 产品中的漏洞

发布时间:2018-3-5 19:24 标签: 工控
分享到 0

台湾台达电子公司 (Delta Electronics) 修复了公司两款工业自动化产品中的多个漏洞,包括可导致远程代码执行问题的缺陷。

PLC 产品受多个漏洞影响

网络昵称为 Axt 的研究员通过趋势科技公司的“零日计划 (ZDI)”和 ICS-CERT 告知台达电子公司称,该公司的 WPLSoft 产品即可编程逻辑控制器 (PLCs) 的编程软件受多种漏洞的影响。

ICS-CERT 在安全公告中说明了三种可导致在当前 DoS攻击尤其是栈缓冲溢出、堆缓冲溢出和带外写入问题情境下执行任意代码的漏洞类型。这些安全漏洞的严重程度为“高危”,编号为CVE-2018-7494CVE-2018-7507CVE-2018-7509

ZDI 共发布了9份安全公告,均和这些缺陷的变体相关。趋势科技公司表示,这些漏洞和应用如何解析 .dvp 文件有关,而且可通过诱骗目标用户打开特殊构造的文件或网页的方式遭利用。

ZDI 表示已在20172月通过 ICS-CERT 将这些漏洞问题告知台达电子公司。趋势科技公司发布的安全公告表明,台达电子公司曾在去年夏天尝试发布某些补丁,但并未正确修复这些漏洞。ZDI 20178月以漏洞“0day”状态发布了其安全公告。

ICS-CERT 在本周指出,台达电子已发布 WPLSoft V2.46.0 版本修复这些漏洞。从台达电子公司的网站来看,补丁在22日发布。

HMI 产品漏洞也已修复

ICS-CERT 本周还发布了另外一份安全公告,说明了由研究员 Ghirmay Desta 在台达电子 DOPSoft 人机界面 (HMI) 产品中找到的一个中危漏洞。

该漏洞是基于栈的缓冲溢出漏洞,和 .dop .dpb 文件的处理有关,可导致远程代码执行。该问题影响 DOPSoft 4.00.01 和之前版本,已在31日发布的版本 4.00.04 中予以修复。

该漏洞也是通过 ZDI 告知台达电子公司的,不过趋势科技尚未发布相关安全公告。201710月,ZDI 在网站上显示了将发布17个安全公告,说明由 Desta 发现的漏洞情况。去年,Desta 还从台达电子传动控制件的一款开发工具 PMSoft 中找到了多个弱点。

某款产品中被曝存在另外4个高危缺陷

最近,一名匿名研究人员还告知 ZDI 称在一款不明的台达产品中找到了四个高危缺陷。

工控供应商耗费数百天的时间修复漏洞的情况并不少见。去年,ZDI 发布报告称,修复 SCADA 缺陷平均用时150天。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.securityweek.com/delta-patches-vulnerabilities-hmi-plc-products
参与讨论,请先 登录 | 注册

用户评论