GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

Fuji Electric多个安全缝隙

颁布功夫 2021-01-29

0x00 缝隙概述

2021年01月26日，美国网络安全和基础设施安全局（CISA）颁布安全布告，披露了工业组织日本电气设备公司Fuji Electric出产的部门SCADA / HMI产品Tellus和V-Server中的多个安全缝隙。

0x01 缝隙详情

Tellus和V-Server 产品可远程监控和节造工厂的设备，它们在关键的造作业中被宽泛选取。

这些缝隙是对用户提供的数据不足正确验证导致的，可能触发缓冲区溢出并因而导致肆意代码执行。利用这些缝隙必要用户交互，攻击者能够通过诱骗指标用户打开恶意项目文件来触发缝隙，最终执行肆意代码。

本次披露的缝隙如下：

CVE	类型	CVSS评分	严沉水平
CVE-2021-22637	基于堆的缓冲区溢出	7.8	高危
CVE-2021-22655	越界读取	7.8	高危
CVE-2021-22653	越界写入	7.8	高危
CVE-2021-22639	代码执行	7.8	高危
CVE-2021-22641	基于堆的缓冲区溢出	7.8	高危

Fuji Electric基于堆的缓冲区溢露马脚（CVE-2021-22637）

在利用法式处置项目文件的方式中存在一个基于仓库的缓冲区溢露马脚，从而使攻击者能够造作执行肆意代码的恶意项目文件，其CVSS评分7.8。

Fuji Electric越界读取缝隙（CVE-2021-22655）

在利用法式处置项目文件的方式中存在一个越界读取缝隙，从而使攻击者能够造作执行肆意代码的恶意项目文件，其CVSS评分7.8。

Fuji Electric越界写入缝隙（CVE-2021-22653）

该缝隙存在于利用法式处置项目文件的方式中，成功利用此缝隙的攻击者能够造作恶意的项目文件，最终执行肆意代码，其CVSS评分7.8。

Fuji Electric代码执行缝隙（CVE-2021-22639）

在利用法式处置项目文件的方式中存在未初始化的指针问题，从而使攻击者能够造作执行肆意代码的恶意项目文件，其CVSS评分7.8。

Fuji Electric基于堆的缓冲区溢露马脚（CVE-2021-22641）

在利用法式处置项目文件的方式中发现了基于堆的缓冲区溢露马脚，攻击者能够通过造作恶意的项目文件来执行肆意代码，其CVSS评分7.8。

影响领域

Tellus Lite V-Simulator：v4.0.10.0之前的版本

V-Server Lite：v4.0.10.0之前的版本

0x02 措置建议

建议升级至v4.0.10.0版本。

下载链接：

https://felib.fujielectric.co.jp/download/details.htm?dataid=43821668&site=global&lang=en

0x03 参考链接

https://securityaffairs.co/wordpress/113950/ics-scada/fuji-electric-hmi-flaws.html?utm_source=rss&utm_medium=rss&utm_campaign=fuji-electric-hmi-flaws

https://us-cert.cisa.gov/ics/advisories/icsa-21-026-01

https://felib.fujielectric.co.jp/download/details.htm?dataid=43821669&site=global&lang=en

0x04 功夫线

2021-01-26 CISA颁布安全布告

2021-01-29 VSRC颁布安全公告

0x05 附录

CVSS评分尺度官网：http://www.first.org/cvss/

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】