行業新聞與部落格

微軟的網路安全團隊發現了羅克韋爾自動化 PanelView Plus 中的兩個重大漏洞，PanelView Plus 是一種廣泛用於工業環境的人機介面 (HMI)。 

這些漏洞被標識為 CVE-2023-2071 和 CVE-2023-29464，可被未經身份驗證的攻擊者遠端利用，分別執行遠端程式碼執行 (RCE) 和拒絕服務 (DoS)。

RCE 漏洞源自 PanelView Plus 中的兩個自定義類，攻擊者可以利用這兩個類上傳和載入惡意 DLL，從而在裝置上執行任意程式碼。同時，DoS 漏洞利用相同的自定義類，傳送裝置無法處理的精心設計的緩衝區，導致裝置崩潰。 

微軟在週二釋出的一份公告中表示，此類漏洞對依賴這些裝置進行運營流程的組織構成了重大風險，因為它們可能導致未經授權的遠端控制和關鍵操作的中斷。

根據技術報告，發現過程始於微軟 Defender for IoT 研究團隊觀察到兩個裝置使用通用工業協議 (CIP) 之間的通訊。 

進一步調查發現，HMI（特別是 PanelView Plus）中存在遠端登錄檔查詢功能。這促使團隊推測可能存在漏洞，這些漏洞可能被利用來訪問敏感系統金鑰或控制裝置。

透過分析在 Windows 10 IoT 上執行的 PanelView Plus 韌體，研究人員發現了幾個負責處理不同 CIP 類 ID 的 DLL。他們發現其中一個 DLL 可用於上傳和執行惡意 DLL 檔案，從而證實了他們關於潛在遠端控制漏洞的假設。

據報道，2023 年 5 月和 7 月，微軟透過其協調漏洞披露 (CVD) 計劃向羅克韋爾自動化披露了這些發現。作為回應，羅克韋爾於 2023 年 9 月和 10 月釋出了安全補丁和公告。 

微軟已敦促所有 PanelView Plus 使用者及時應用這些補丁以降低潛在風險。

微軟的進一步建議包括確保所有關鍵裝置（如 PLC、路由器和 PC）都與網際網路斷開連線並進行分段，無論它們是否使用 Rockwell 的 FactoryTalk View。此外，他們建議將對 CIP 裝置的訪問限制為僅授權元件，以加強整體安全協議。