GA黄金甲

首页 > 安全钻研 > 安全传递 > 安全公告

【缝隙公告】Rockwell Automation 12月多个安全缝隙

颁布功夫 2022-12-30

0x00 缝隙概述

罗克韦尔自动化有限公司（Rockwell Automation）是全球驰名的致力于工业自动化与信息的公司，旨在援手客户提逾越产力，以及推进世界可持续发展。

12月20日，罗克韦尔自动化多个节造器被披露存在多个安全缝隙，这些缝隙可能导致回绝服务或远程代码执行。

0x01 缝隙详情

这些缝隙的详情如下：

CVE	类型	评分	注明	影响领域	建复版本
CVE-2022-3156	接见节造不当	7.8	由于谬误配置，导致用户在某些产品服务上被授予较高的权限，恶意用户能够利用该缝隙远程执行代码。	Studio 5000 Logix Emulate 版本v.20-33	Studio 5000 Logix Emulate版本>= v34.00
CVE-2022-3157	输入验证不当	8.6	某些罗克韦尔自动化节造器中存在不正确的输入验证缝隙，能够通过发送体式谬误的 CIP 要求导致回绝服务。	CompactLogix 5370 版本20–33、Compact GuardLogix 5370 版本28–33、ControlLogix 5570 版本20–33、ControlLogix 5570 redundancy 版本 20–33、GuardLogix 5570 版本20–33	CompactLogix 5370、Compact GuardLogix 5370、ControlLogix 5570、GuardLogix 5570：应升级到版本 33.013、34.011 或更高版本； ControlLogix 5570 redundancy：应升级到版本 33.052、34.051 或更高版本。
CVE-2022-46670	跨站剧本（XSS）	7.1	罗克韦尔某些PLC产品在嵌入式网络服务器中存在存储型跨站剧本缝隙，可利用该缝隙在无需身份验证的情况下远程执行代码。	MicroLogix 1100：所有版本、 MicroLogix 1400 A： 7.000 及之前版本、 MicroLogix 1400 B/C： 21.007 及之前版本	缓解措施： A．若是能够，请禁用 Web 服务器。 B．配置防火墙以不容通过 HTTP/端口 802 进行网络通讯。 C．升级到MicroLogix 800 或 MicroLogix 850（无Web 服务器组件）
CVE-2022-3166	点击劫持	7.5	罗克韦尔某些PLC产品存在点击劫持缝隙，远程恶意主机能够向网络服务器发送TCP数据包，导致 Web 服务器利用法式回绝服务。

0x02 安全建议

目前部门缝隙已经建复，受影响用户可实时升级到建复版本。对于CVE-2022-46670和CVE-2022-3166，目前暂无可用的建复法式，但罗克韦尔自动化已经提供了缓解措施，受影响用户可实时利用一时缓解措施以预防攻击。

下载链接：

https://compatibility.rockwellautomation.com/Pages/MultiProductSelector.aspx?crumb=111

0x03 参考链接

https://www.cisa.gov/uscert/ics/advisories/icsa-22-356-02

https://www.cisa.gov/uscert/ics/advisories/icsa-22-354-02

https://www.cisa.gov/uscert/ics/advisories/icsa-22-354-04

0x04 版本信息

版本	日期	批改内容
V1.0	2022-12-30	初次颁布

0x05 附录

GA黄金甲简介

GA黄金甲成立于1996年，是由留美博士严望佳女士创建的、占有齐全自主知识产权的信息安全高科技企业。是国内最具实力的信息安全产品、安全服务解决规划的领航企业之一。

公司总部位于北京市中关村软件园GA黄金甲大厦，公司员工6000余人，研发团队1200余人, 技术服务团队1300余人。在全国各省、视注自治区设立分支机构六十多个，占有覆盖全国的销售系统、渠路系统和技术支持系统。公司于2010年6月23日在深圳中幼板挂牌上市。（股票代码：002439）

多年来，GA黄金甲致力于提供拥有国际竞争力的自主创新的安全产品和最佳实际服务，援手客户全面提升其IT基础设施的安全性和出产效力，为打造和提升国际化的民族信息安全产业领军品牌而不懈致力。

关于GA黄金甲

GA黄金甲安全应急响应中心重要针对沉要安全缝隙的预警、跟踪和分享全球最新的威胁谍报和安全汇报。

关注以下公家号，获取全球最新安全资讯：

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】