西屋 1C31234G01  保質期長

西屋 1C31234G01  保質期長

聯邦調查局警告，富士電機的工業控制軟件(ICS)中存在多個高危的任意代碼執行安全漏洞。當局警告說，這些漏洞可能會對工廠以及關鍵的基礎設施進行物理攻擊。

富士電機的Tellus Lite V-Simulator和V-Server Lite都受到了此漏洞的影響，這些漏洞的CVSS嚴重性評級均為7.8。這兩款產品可以組成一個的人機界面(HMI)系統，主要用于遠程監控和實時收集生產數據，控制工業中各種關鍵基礎設備。它可以與各種制造商的可編程邏輯控制器(PLC)、溫度控制器、變頻器等接口進行交互。

CISA解釋說："利用這些漏洞，攻擊者在應用程序的權限下就可以執行任意代碼"。

根據網絡安全和基礎設施安全局(CISA)本周發布的警告，這些安全漏洞需要 "很高的利用條件"。它們不能被遠程利用，因此非本地的攻擊者必須在進行攻擊活動之前獲得對用戶計算機的初始訪問權限。然而，Gurucul的執行官Saryu Nayyar告訴Threatpost，這個條件并不難實現。

她說："最可能的攻擊方式是通過一種主流常見的方法來入侵用戶的桌面，或者以其他方式獲得受漏洞影響的平臺的訪問權限，然后，惡意攻擊者會向系統中上傳一個惡意文件，文件將利用該漏洞，使攻擊者能夠入侵服務器。"