一、事件基本情况

近日,Rockwell(罗克韦尔自动化有限公司)和ICS-CERT发布通报称, Rockwell的RSLinx Classic软件存在三个高危漏洞(CVE-2018-14829、CVE-2018-14821和CVE-2018-14827),影响范围包括RSLinx Classic 4.00.01及之前版本,一旦被成功利用可能实现任意代码执行甚至导致设备系统崩溃。具体情况如下。

二、漏洞分析

RSLinx Classic是一款Rockwell开发的专用工业软件,用于实现对Rockwell相关设备、网络产品的统一配置管理,具有数据采集、控制器编程、人机交互等功能,广泛应用于能源、制造、污水处理等领域。

本次通报的三个高危漏洞的利用方式都是通过44818端口进行远程攻击或破坏,其中CVE-2018-14829为基于栈的缓冲区溢出漏洞,攻击者可以通过发送含有恶意代码的数据包,实现在主机上的任意代码执行、读取敏感信息或导致系统崩溃等;CVE-2018-14821为基于堆的缓冲区溢出漏洞,攻击者可以通过发送含有恶意代码的数据包,导致应用程序终止运行;CVE-2018-14827为资源耗尽漏洞,攻击者可以通过发送特制的Ethernet/IP数据包,导致应用程序崩溃。

三、对策建议

建议有关工业企业按照《工业控制系统信息安全防护指南》要求,做好以下防范工作。

一是及时下载软件最新版本,离线验证后进行系统软件升级,软件下载地址:https://rockwellautomation.custhelp.com/app/answers/detail/a_id/1075712。

二是使用适当的安全防护技术管理手段限制对44818端口的访问。

声明:本文来自工业信息安全产业发展联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。