CNVD(国家信息安全漏洞平台:http://www.cnvd.org.cn/)10 月 23 号所上报的漏洞来自于美国 ICS-CERT的工控安全漏洞平台于 10 月 13 号所公布的安全漏洞,如下简述下安全漏洞发现以及公布的流程:
中国 CNVD、美国 ICS-CERT 这类安全漏洞平台的所公布的漏洞,是通过鼓励从事安全行业的企业,组织或者个人,去主动的测试市场上知名的工控设备(如思科、赫斯曼、西门子的网络设备,以及西门子,施耐德等控制设备),漏洞发现后,上报 CNVD 或 ICS-CERT 等漏洞平台,通过 CNVD 或 ICS-CERT 告知设备制造商,设备制造商会进行漏洞修复,修复完成后,会通知 CNVD 或 ICS-CERT 进行漏洞公布;CNVD 及 ICS-CERT 期望通过这样的方式提升工业行业内的从业人员和企业的信息安全的意识。以下几点补充,帮助大家更好的理解 CNVD 及 ICS-CERT 所发布的产品安全漏洞:
1、漏洞发现是主动的测试行为,是为了防范于未然,而不是已经出了信息安全事故。
2、被发现漏洞的产品反而信息安全程度更高,因为只有知名厂商的设备才会被纳入测试范围,并且被全球各安全机构及个人去做主动的安全漏洞发现,让安全隐患无从隐藏。
3、漏洞正式在平台公布前,其实厂家已经完成了漏洞修复,并提供漏洞修复的解决方案。
4、即使在现在检测无漏洞的产品,随着新的检测或者攻击技术出现,也可能会发现新的漏洞,因此,最大程度保障产品的信息安全,需要持续性的更新迭代。
Moxa 已成立安全漏洞事件响应小组(CRST),并配备专门的研发和产品人员,积极配合 CNVD 及 ICS-CERT ,对产品的信息安全做持续性的更新和升级,Moxa 提供针对工业信息安全的解决方案(链接地址:https://www.moxa.com/en/spotlight/portfolio/defend-industrial-networks/index.htm#security),为工业自动化系统的信息安全保驾护航!
针对 Moxa 的 NPort IAW5000A-I/O 系列产品所出现的漏洞,Moxa 现已提供漏洞修复解决方案。需注意的是,补丁的升级会需要系统重启,还请在确认重启行为不会影响您系统业务的前提下进行升级作业。
发现的漏洞类型及其潜在影响如下表所示:
序号 |
漏洞类型 |
影响 |
1 |
会话固定
(CWE-384), BDU-2020-04049, CVE-2020-25198 |
此漏洞使攻击者可以访问会话,并通过窃取用户的 Cookie 来劫持会话。 |
2 |
权限管理不当
(CWE-269, CWE-266), BDU-2020-04050, CVE-2020-25194 |
此漏洞允许具有用户特权的人执行具有管理特权的请求。 |
3 |
弱密码要求
(CWE-521), BDU-2020-04051, CVE-2020-25153 |
此漏洞使用者可以使用弱密码。 |
4 |
敏感信息的明文传输
(CWE-319), BDU-2020-04052, CVE-2020-25190 |
此漏洞允许 Web 服务器以明文形式存储和传输第三方服务的凭据。 |
5 |
过度的身份验证尝试限制不当 (CWE-307), BDU-2020-04053, CVE-2020-25196 |
此漏洞使攻击者可以使用蛮力绕过 SSH/Telnet 会话的身份验证。 |
6 |
信息暴露
(CWE-200), BDU-2020-04054, CVE-2020-25192 |
此漏洞使攻击者无需适当的授权即可访问内置 Web 服务中的敏感信息。 |