当地时间11月20号,美国ICS-CERT通报了施耐德电力(Schneider Electric)的M221全系列可编程逻辑控制器(PLC)设备存在数据真实性验证不足漏洞的情况。CNCERT下属的工业互联网安全应急响应中心(http://www.ics-cert.org.cn)针对漏洞情况进行了分析,并对国内相关联网资产进行了在线监测,具体情况通报如下:

一、漏洞情况分析

M221系列产品是施耐德电力公司所设计研发的可编程逻辑控制器。其支持以太网及Modbus通信。

安全研究人员发现,施耐德电力的M221全系列PLC设备存在数据真实性验证不足漏洞。分析表明,该漏洞是由于UMAS协议中不正确的网络模块配置造成的,可允许攻击者远程修改IPv4网络配置参数来拦截目标PLC的网络流量,阻碍设备正常网络通信。

二、漏洞影响范围

该漏洞的综合评级为“高危”。

根据生产厂商以及漏洞研究者的测试结果,受到该漏洞影响的设备为

  • TM221CE40R

  • TM221CE40T

  • TM221C16U

  • TM221CE16U

  • TM221C24U

  • TM221CE24U

  • TM221C40U

  • TM221CE40U

  • TM221C16R

  • TM221C16T

  • TM221C24R

  • TM221C24T

  • TM221C40R

  • TM221C40T

  • TM221CE16R

  • TM221CE16T

  • TM221CE24R

  • TM221CE24T

共18个相关设备。截止当前,我中心通过监测手段发现了部分暴露在互联网上的相关设备,详细信息见附录一、二。

三、漏洞处置建议

目前厂商已发布解决上述漏洞的安全防护措施,建议相关用户及时检查更新。

详情请关注厂商网站的相关信息:https://www.schneider-electric.com/en/download/document/SEVD-2018-270-01/

此外,建议相关用户应采取的其他安全防护措施如下:

(1)设置防火墙,阻止对端口502的所有远程/外部访问。

(2)在Modicon M221应用程序中,用户应禁用所有未使用的协议,尤其是编程协议,以阻止M221 PLC的远程编程。

(3)确保控制器处于锁定的机柜中,非必要时不启用“Program”模式。

(4)最大限度地减少所有控制系统设备及系统暴露在外网环境,并确保无法从外网访问它们。

工业互联网安全应急响应中心将持续跟踪漏洞处置情况,如需技术支持,请及时与我们联系。

联系电话:010-82992157

邮箱:ics-cert@cert.org.cn

网站:www.ics-cert.org.cn

微信公众号:工业互联网安全应急响应中心

相关安全公告链接参考如下:https://ics-cert.us-cert.gov/advisories/ICSA-18-324-02

附录一国内暴露在互联网的该漏洞相关网络资产信息

设备型号

省份

城市

区县

运营商

IP地址

TM221CE40R

安徽市

黄山市

黟县

电信

114.104.**.**

TM221CE40R

安徽市

黄山市

黟县

电信

114.104.**.**

TM221CE40T

台湾省

台北市

中山区

中华电信

59.124.**.**

TM221CE16T

台湾省

台北市

南屯区

中华电信

61.216.**.**

附录二国内暴露在互联网的该漏洞相关网络资产分布图

声明:本文来自工业互联网安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。