执行摘要 - CVSS v3 评分: 4.4 - 重视等级: 低技能水平的攻击可利用该漏洞 - 厂商: Delta Electronics (Delta) - 设备: Delta Industrial Automation CNCSoft - 漏洞: 越界读取 风险评估 - 成功利用此漏洞可能导致缓冲区溢出,从而导致信息泄漏或应用程序崩溃。 技术细节 - 受影响的产品 - Delta Industrial Automation CNCSoft 的以下版本受到影响: CNCSoft ScreenEditor Version 1.00.84 及更早版本。 - 漏洞概述 - 越界读取 CWE-125 - 由于在处理项目文件时缺少用户输入验证,可能导致软件崩溃的越界读取漏洞。 - 该漏洞的CVE编号为CVE-2019-6547,CVSS v3评分4.4,CVSS向量为(AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:L)。 - 背景 - 关键基础设施部门: 关键制造 - 部署国家/地区: 全球 - 公司总部所在地: 台湾 研究者 -Natnael Samson (@NattiSamson)与Trend Micro的零日计划(ZDI)合作将此漏洞报告给NCCIC。 缓解措施 - Delta建议: - 更新至CNCSoft v1.01.15的最新版本。最新版本可以在此找到。 - 限制与应用程序的交互仅限于受信文件。 - NCCIC建议用户采取防御措施以最小化利用此漏洞的风险。 - 最小化所有控制系统设备和/或系统的网络暴露,并确保它们不可从互联网访问。将控制系统网络和远程设备置于防火墙之后,并将它们与业务网络隔离。当需要远程访问时,使用安全方法,如虚拟专用网络(VPNs),并认识到VPNs可能具有漏洞并应更新到最新版本。同时要注意VPN的安全性只等同于连接设备的安全性。 - NCCIC提醒组织在部署防御措施之前执行适当的影响分析和风险评估。 - NCCIC还提供了控制系统的安全推荐实践在ICS-CERT网页上。有几篇推荐的文章可用于阅读和下载,包括改善工业控制系统网络安全的纵深防御策略。 - 在技术信息文件中,可以找到附加的漏洞缓解指导和推荐实践,例如ICS-TIP-12-146-01B--定向网络入侵检测和缓解策略。 报告恶意活动 - 观察到任何疑似恶意活动的组织应遵循其已建立的内部程序,并将发现报告给NCCIC,以便跟踪和与其他事件相关联。 防范社交工程攻击 - NCCIC还建议用户采取以下措施来保护自己免受社交工程攻击: - 不要点击电子邮件中的网页链接或打开未请求的附件。 - 参考避免和识别电子邮件诈骗获取关于避免电子邮件诈骗的更多信息。 - 参考避免社交工程和网络钓鱼攻击获取关于社交工程攻击的更多信息。 - 没有已知的针对此漏洞的公开利用。此漏洞无法远程利用。