1月17日讯 瑞士知名工业与建筑自动化解决方案提供商佳乐商贸(Carlo Gavazzi)发布某些能源监控产品的固件升级,以修补可能使设备面临远程网络攻击的严重漏洞。
安全研究人员Karn Ganeshen发现Carlo Gavazzi的VMU-C EM和VMU-C PV产品运行的固件版本(A11_U05和A17之前的版本)至少存在3个“超危”和“高危”。
VMU-C产品旨在记录、监控并传输电能表、功率分析仪和其它VMU模块的信号,以此帮助组织机构管理能源效率。该设备包含Web服务器,可以用来建立系统并监控数据。
美国工控系统网络应急响应小组(ICS-CERT)上周发布的一份报告显示,该产品存在一个漏洞 — 允许访问应用程序的大多数功能,而不需要验证(CVE-2017-5144);此外,还存在跨站请求伪造(CSRF)漏洞,可以被利用修改配置参数(CVE-2017-514)。Ganeshen还发现该产品明文储存某些敏感信息(CVE-2017-5146)。
Ganeshen表示,ICS-CERT的这份报告可能会更新,因为它包含一些不准确的信息。具体而言,Ganeshen还没有测试固件升级,其漏洞可以被远程利用。
他表示,得知产品存在漏洞后, Carlo Gavazzi花了5个多月的时间发布VMU-C产品的补丁。他对Carlo Gavazzi的处理方式予以称赞。
Ganeshen计划在他的博客上披露其它细节。他表示,如果可以在局域网或互联网上访问该设备的管理员界面,这些漏洞可以被远程利用。
Ganeshen解释道,“如果存在漏洞的固件版本部署在配电设备的任何地方,并且能在互联网上访问设备,这样一来,就能通过发送请求的方式访问储存在该设备上的相关能源数据库。”
除了Carlo Gavazzi,Ganeshen在几个月前发现一系列漏洞影响施耐德电气(Schneider Electric)和FENIKS PRO的电能表。
关于CARLO GAVAZZI
CARLO GAVAZZI自动化是一家集设计、制造和工业电子设备营销于一体,面向全球工业自动化、楼宇自动化及能源市场的跨国电子集团。CARLO GAVAZZI公司创办于1931年,总部设在欧洲,于1984年在瑞士成功上市,全球共有21家全资销售子公司,并在65个多国家和地区成立销售及服务团队。公司经过长达八十年的成功运作,在其工业领域积累了丰富的经验,并拥有严格的品质管理体制,取得了CE、UL、CSA、DS、ROHS等独立认证,其研发和生产的产品完全符合最新国际标准,生产设施及运作流程不但符合ISO9001:2008质量管理体系认证要求,也达到了 ISO14001: 2004 环境管理体系标准。目前CARLO GAVAZZI在意大利、丹麦、马耳他、立陶宛、中国等地设有研发中心和生产基地,佳乐商贸(中国)有限公司为CARLO GAVAZZI设立在中国境内的全资销售子公司,公司秉承一贯积极认真的态度,为客户提供最前沿、最优、最全的电气产品及解决方案。
Carlo Gavazzi漏洞信息
注意: 远程漏洞利用/低技能水平利用
厂商: Carlo Gavazzi
设备: VMU-C EM、VMU-C PV
漏洞: 访问控制漏洞、CSRF、明文储存敏感信息
受影响的产品
Carlo Gavazzi报告漏洞影响的版本如下:
A11_U05之前的VMU-C EM固件版本;
A17之前的VMU-C PV固件版本。
影响
攻击者成功利用这些漏洞可以更改配置参数,并保存修改的配置。
升级
Carlo Gavazzi 建议升级到以下固件版本:
VMUC EM 升级到VMU-C EM A11_U05;
VMUC PV 升级到VMU-C PV A17。
相关固件版本可通过VMU-C中嵌入的固件升级功能获取,或从Carlo Gavazzi网站下载。链接如下:
http://www.gavazzi-automation.com/nsc/HQ/EN/energy_efficiency_monitoring
步骤如下:
点击“选择产品”(Select the Product)。
在“功能”(FUNCTION)一列中选择“Web服务器”(Web-Server)。
出现包含VMU-C EM和VMU-C PV的列表;从列表中选择VMU-C模块。
点击右侧“下载”(Downloads)中的“软件”(Software)图标,开始下载升级固件包。
E安全建议用户采取防御措施,最大限度降低这些漏洞被利用的风险,用户应该:
将所有控制系统设备和/或系统的网络曝光率降到最低,并确保无法通过互联网访问。
在防火墙后找到控制系统网络和远程设备,并使其与企业网络隔离。
当需要远程访问时,使用安全方法访问,例如VPN,但应认识到VPN可能存在漏洞,应升级到最新版本。此外,还应认识到VPN的安全性与联网设备一样。
京公网安备 11010502049343号