行业新闻与博客

微软的网络安全团队发现了罗克韦尔自动化 PanelView Plus 中的两个重大漏洞，PanelView Plus 是一种广泛用于工业环境的人机界面 (HMI)。 

这些漏洞被标识为 CVE-2023-2071 和 CVE-2023-29464，可被未经身份验证的攻击者远程利用，分别执行远程代码执行 (RCE) 和拒绝服务 (DoS)。

RCE 漏洞源自 PanelView Plus 中的两个自定义类，攻击者可以利用这两个类上传和加载恶意 DLL，从而在设备上执行任意代码。同时，DoS 漏洞利用相同的自定义类，发送设备无法处理的精心设计的缓冲区，导致设备崩溃。 

微软在周二发布的一份公告中表示，此类漏洞对依赖这些设备进行运营流程的组织构成了重大风险，因为它们可能导致未经授权的远程控制和关键操作的中断。

根据技术报告，发现过程始于微软 Defender for IoT 研究团队观察到两个设备使用通用工业协议 (CIP) 之间的通信。 

进一步调查发现，HMI（特别是 PanelView Plus）中存在远程注册表查询功能。这促使团队推测可能存在漏洞，这些漏洞可能被利用来访问敏感系统密钥或控制设备。

通过分析在 Windows 10 IoT 上运行的 PanelView Plus 固件，研究人员发现了几个负责处理不同 CIP 类 ID 的 DLL。他们发现其中一个 DLL 可用于上传和执行恶意 DLL 文件，从而证实了他们关于潜在远程控制漏洞的假设。

据报道，2023 年 5 月和 7 月，微软通过其协调漏洞披露 (CVD) 计划向罗克韦尔自动化披露了这些发现。作为回应，罗克韦尔于 2023 年 9 月和 10 月发布了安全补丁和公告。 

微软已敦促所有 PanelView Plus 用户及时应用这些补丁以降低潜在风险。

微软的进一步建议包括确保所有关键设备（如 PLC、路由器和 PC）都与互联网断开连接并进行分段，无论它们是否使用 Rockwell 的 FactoryTalk View。此外，他们建议将对 CIP 设备的访问限制为仅授权组件，以加强整体安全协议。