关键漏洞信息 1. 概要 CVSS v3 分数: 8.8 注意事项: 可通过远程方式利用,技能要求低 厂商: Siemens 设备: SIPORT MP 漏洞: 客户端身份验证的使用 2. 风险评估 成功的利用该漏洞,可能使经过身份验证的攻击者能够冒充系统的其他用户,并代表这些用户执行行动(如果启用了单点登录功能“允许无密码登录”)。 3. 技术细节 3.1 受影响的产品 SIPORT MP: 版本3.2.1及以下版本 3.2 漏洞概述 CWE: CWE-603 使用客户端身份验证 该受影响产品存在身份验证绕过,可能使攻击者冒充系统用户 CVE编号: CVE-2020-7591 CVSS v3 基本分数: 8.8 3.3 背景 关键基础设施领域: 商业设施 部署的国家/地区: 全球 公司总部所在地: 德国 3.4 研究者 Siemens ProductCERT向CISA报告了该漏洞 4. 缓解措施 Siemens已发布SIPORT MP的更新版本(v3.2.1),建议用户在所有受影响系统上安装此更新 对无法升级至版本3.2.1的安装,请联系Siemens支持以获取部署和特定缓解措施的信息。 为了增加安全性,Siemens建议用户通过合适的机制保护受影响设备的网络访问。 CISA建议用户采取防御措施以最小化该漏洞的利用风险,包括: - 将所有控制系统的设备和/或系统与互联网隔离 - 将控制系统网络和远程设备置于防火墙后,并将其与业务网络隔离 - 在需要远程访问时,使用如虚拟专用网络(VPN)等安全方法