行业新闻与博客

微软发现 Rockwell PanelView Plus 存在重大缺陷

微软的网络安全团队发现了罗克韦尔自动化 PanelView Plus 中的两个重大漏洞,PanelView Plus 是一种广泛用于工业环境的人机界面 (HMI)。 

这些漏洞被标识为 CVE-2023-2071 和 CVE-2023-29464,可被未经身份验证的攻击者远程利用,分别执行远程代码执行 (RCE) 和拒绝服务 (DoS)。

RCE 漏洞源自 PanelView Plus 中的两个自定义类,攻击者可以利用这两个类上传和加载恶意 DLL,从而在设备上执行任意代码。同时,DoS 漏洞利用相同的自定义类,发送设备无法处理的精心设计的缓冲区,导致设备崩溃。 

微软在周二发布的一份公告中表示,此类漏洞对依赖这些设备进行运营流程的组织构成了重大风险,因为它们可能导致未经授权的远程控制和关键操作的中断。

根据技术报告,发现过程始于微软 Defender for IoT 研究团队观察到两个设备使用通用工业协议 (CIP) 之间的通信。 

进一步调查发现,HMI(特别是 PanelView Plus)中存在远程注册表查询功能。这促使团队推测可能存在漏洞,这些漏洞可能被利用来访问敏感系统密钥或控制设备。

通过分析在 Windows 10 IoT 上运行的 PanelView Plus 固件,研究人员发现了几个负责处理不同 CIP 类 ID 的 DLL。他们发现其中一个 DLL 可用于上传和执行恶意 DLL 文件,从而证实了他们关于潜在远程控制漏洞的假设。

据报道,2023 年 5 月和 7 月,微软通过其协调漏洞披露 (CVD) 计划向罗克韦尔自动化披露了这些发现。作为回应,罗克韦尔于 2023 年 9 月和 10 月发布了安全补丁和公告。 

微软已敦促所有 PanelView Plus 用户及时应用这些补丁以降低潜在风险。

微软的进一步建议包括确保所有关键设备(如 PLC、路由器和 PC)都与互联网断开连接并进行分段,无论它们是否使用 Rockwell 的 FactoryTalk View。此外,他们建议将对 CIP 设备的访问限制为仅授权组件,以加强整体安全协议。

需要帮助吗?联系我们的支持团队 在线客服