CVE-2024-27767 — 神龙十问 AI 深度分析摘要
CVSS 10.0 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:Unitronics Unistream Unilogic 存在**身份验证不正确**漏洞。 📉 **后果**:攻击者可完全控制受影响系统,导致**机密性、完整性、可用性**全面崩溃。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE-287**:身份验证(Authentication)缺陷。 ❌ **缺陷点**:软件未能正确验证用户身份,导致**无效或伪造凭证**可通过验证。
Q3影响谁?(版本/组件)
🏭 **厂商**:Unitronics。 💻 **产品**:Unistream Unilogic(PLC集成控制器软件平台)。 📦 **版本**:**1.35.227 之前**的所有版本。
Q4黑客能干啥?(权限/数据)
👑 **权限**:获得**最高权限**(CVSS S:C, C:H, I:H, A:H)。 📂 **数据**:可读取、修改、删除所有关键数据。 ⚙️ **控制**:可完全操控 PLC 逻辑运行。
Q5利用门槛高吗?(认证/配置)
🚪 **认证**:**无需认证**(PR:N)。 🌐 **网络**:远程利用(AV:N)。 🎯 **复杂度**:**低**(AC:L)。 👤 **交互**:**无需用户交互**(UI:N)。 📝 **总结**:利用门槛极低,极易被自动化攻击。
Q6有现成Exp吗?(PoC/在野利用)
📜 **PoC**:当前数据中 **无** 公开 PoC 代码。 🔥 **在野利用**:暂无明确在野利用报告。 ⚠️ **风险**:虽无公开 Exp,但因利用条件宽松,**极可能**被快速开发利用。
Q7怎么自查?(特征/扫描)
🔎 **扫描特征**:检测目标是否运行 Unitronics Unistream Unilogic。 📋 **版本核查**:确认软件版本是否 **< 1.35.227**。 🛡️ **资产梳理**:重点排查工业控制网络中的 PLC 开发/编程终端。
Q8官方修了吗?(补丁/缓解)
🛠️ **修复方案**:升级至 **1.35.227 或更高版本**。 📢 **官方状态**:CVE 已发布(2024-03-18),建议立即联系厂商获取补丁。
Q9没补丁咋办?(临时规避)
🚧 **临时规避**: 1. **网络隔离**:将该软件所在网络段与互联网/不可信网络物理或逻辑隔离。 2. **访问控制**:严格限制对 PLC 编程端口的访问权限,仅允许可信 IP。 3. **监控**:加强对该系统异常登录和配置变更的日志审计。
Q10急不急?(优先级建议)
🔴 **优先级**:**极高**。 ⚡ **理由**:CVSS 评分满分(10.0),远程无需认证即可完全控制工业控制器。 🚀 **建议**:**立即**停止使用受影响版本,优先进行网络隔离并安排升级。