行業新聞與博客

微軟的網絡安全團隊發現了羅克韋爾自動化 PanelView Plus 中的兩個重大漏洞，PanelView Plus 是一種廣泛用於工業環境的人機界面 (HMI)。 

這些漏洞被標識為 CVE-2023-2071 和 CVE-2023-29464，可被未經身份驗證的攻擊者遠程利用，分別執行遠程代碼執行 (RCE) 和拒絕服務 (DoS)。

RCE 漏洞源自 PanelView Plus 中的兩個自定義類，攻擊者可以利用這兩個類上傳和加載惡意 DLL，從而在設備上執行任意代碼。同時，DoS 漏洞利用相同的自定義類，發送設備無法處理的精心設計的緩衝區，導致設備崩潰。 

微軟在週二發佈的一份公告中表示，此類漏洞對依賴這些設備進行運營流程的組織構成了重大風險，因為它們可能導致未經授權的遠程控制和關鍵操作的中斷。

根據技術報告，發現過程始於微軟 Defender for IoT 研究團隊觀察到兩個設備使用通用工業協議 (CIP) 之間的通信。 

進一步調查發現，HMI（特別是 PanelView Plus）中存在遠程註冊表查詢功能。這促使團隊推測可能存在漏洞，這些漏洞可能被利用來訪問敏感系統密鑰或控制設備。

通過分析在 Windows 10 IoT 上運行的 PanelView Plus 固件，研究人員發現了幾個負責處理不同 CIP 類 ID 的 DLL。他們發現其中一個 DLL 可用於上傳和執行惡意 DLL 文件，從而證實了他們關於潛在遠程控制漏洞的假設。

據報道，2023 年 5 月和 7 月，微軟通過其協調漏洞披露 (CVD) 計劃向羅克韋爾自動化披露了這些發現。作為回應，羅克韋爾於 2023 年 9 月和 10 月發佈了安全補丁和公告。 

微軟已敦促所有 PanelView Plus 用户及時應用這些補丁以降低潛在風險。

微軟的進一步建議包括確保所有關鍵設備（如 PLC、路由器和 PC）都與互聯網斷開連接並進行分段，無論它們是否使用 Rockwell 的 FactoryTalk View。此外，他們建議將對 CIP 設備的訪問限制為僅授權組件，以加強整體安全協議。