首页 > 安全钻研 > 安全传递 > 安全公告

Rockwell Automation可编程逻辑节造器安全缝隙风险公告

颁布功夫 2020-03-18

缝隙编号和级别

CVE编号：CVE-2020-6990，危险级别：严沉，CVSS分值：厂商自评：9.8，官方未评定

CVE编号：CVE-2020-6984，危险级别：严沉，CVSS分值：厂商自评：9.8，官方未评定

CVE编号：CVE-2020-6988，危险级别：高危，CVSS分值：厂商自评：7.5，官方未评定

CVE编号：CVE-2020-6980，危险级别：中危，CVSS分值：厂商自评：4.0，官方未评定

影响版本

Rockwell Automation MicroLogix 1400 Controllers Series B v21.001及之前版本和Series A所有版本

MicroLogix 1100 Controller所有版本

RSLogix 500 Software v12.001及之前版本

缝隙概述

美国Rockwell Automation公司是全球最大的自动化和信息化公司之一。MicroLogix 1400 Controllers和MicroLogix 1100 Controllers是Rockwell Automation公司出品的可编程逻辑节造器。RSLogix 500 Software是一套用于工业节造系统的编程软件。

美国网络安全和基础设施安全局（CISA）近日颁布了一则安全布告，披录国Rockwell Automation公司MicroLogix 1400 Controllers，MicroLogix1100 Controllers和RSLogix 500 Software中的多个缝隙。概述如下：

CVE-2020-6990， RSLogix 500二进造文件使用硬编码的加密密钥，而该加密密钥用于�；ふ嘶苈�。远程攻击者能够通过鉴别加密密钥，并将其用于后续的密码攻击，最终达成越权接见节造器。

CVE-2020-6984，该缝隙源于使用了被破解的或有风险的算法，MicroLogix中用于�；っ苈氲募用芎菀妆环⑾�。远程攻击者可利用该缝隙破解算法并入侵受�；さ氖�，最终泄录感信息。

CVE-2020-6988，未经身份认证的远程攻击者可从RSLogix 500 Software向受害者的MicroLogix节造器发送一个要求，节造器会选取已用过的密码值响应客户端，对在客户端上的用户进行身份认证。攻击者可利用此种身份认证步骤绕过身份认证，泄录感信息，或泄露痛处。

CVE-2020-6980，RSLogix 500中保留了SMTP账户数据，由于该数据以明文大局写入到项目文件中，本地攻击者若是能够接见受害者的项目，则可能网络SMTP server的身份认证数据。

缝隙验证

暂无PoC/EXP。

建复建议

对于使用MicroLogix 1400 Controllers Series B的用户，Rockwell建议更新版本至21.002或更高版本，并使用加强的密码安全职能，链接：https://compatibility.rockwellautomation.com/Pages/MultiProductFindDownloads.aspx?crumb=112&refSoft=1&toggleState=&versions=56181,56502,56710,57096,58298。

对于RSLogix 500软件，Rockwell Automation建议受影响的用户使用v11或更高版本，并与合用于Micrologix 1400系列B设备的FRN 21.001或更高版本一路使用，链接：https://compatibility.rockwellautomation.com/Pages/MultiProductFindDownloads.aspx?crumb=112&refSoft=1&toggleState=&versions=57415,56006。

而对于MicroLogix 1400 Series A节造器或MicroLogix 1100节造器，Rockwell Automation向CISA暗示目前尚未有缓解措施。

参考链接

https://www.us-cert.gov/ics/advisories/icsa-20-070-06

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

Rockwell Automation可编程逻辑节造器安全缝隙风险公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线