3S CoDeSys运行时工具包空指针引用
原文地址:http://ics-cert.us-cert.gov/advisories/ICSA-14-030-01译文地址:http://www.ics-cert.com.cn/?p=195
译文地址:http://blog.csdn.net/icscert/article/details/21749007
译文作者:ICS-CERT
概述
独立研究者NicholasMiles发现了Smart SoftwareSloutions(3S) CoDeSys运行时工具包的空指针引用漏洞。3S已经发布了更新,修正这一漏洞。Nicholas Miles已经测试了更新,确认漏洞已经修正了。
这一漏洞可以被远程利用。
影响产品
如下版本的CoDeSys受影响:
[*]CoDeSys运行时工具包V2.4.7.44以前版本
影响范围
如果被利用,攻击者能够远程利用此漏洞导致运行时工具应用程序中的系统崩溃。
对于每个组织机构的影响取决于每个组织特有的多方面因素。NCCIC/ICS-CERT建议各组织机构基于自身的操作环境、架构和产品情况来评估这些漏洞产生的影响。
背景
3S是一个德国的公司,在德国和北京设有办事机构。3S开发软件应用于各种各样的可编程控制器和工业控制器。3S也开发可视化应用程序(人机界面),工程桌面编程平台,安全模块和现场控制器。
受影响的产品,CoDeSys运行时工具,是嵌入在第三方的软件中,这些软件应用于各种各样的厂商的SCADA系统中。据3S的消息,CoDeSys的部署跨多个行业,包括关键制造、楼宇自动化、能源、交通等等。3S估计,这些产品应用在全球范围。
漏洞特征
漏洞概述
空指针引用a
CoDeSys运行时工具中的一个指针,希望其值是有效的,但是这一指针的值为NULL。通过引用这一空指针,攻击者能够使运行时工具崩溃。
这一漏洞被定义为CVE-2014-0757b。CVSS v2的分数为4.3,CVSS向量字符串为(AV:N/AC:M/Au:N/C:N/I:N/A:C).c
漏洞详细信息
可利用性
本漏洞可以被远程利用
Exp代码
目前还没有发现针对此漏洞的Exp代码被公布出来。
难度
具有中等技术水平的攻击者可以利用此漏洞。
解决办法
3S已经发布了更新,可以在3S CODESYS的的下载页下载:
http://www.codesys.com/support-training/self-help/downloads-updates.html
请联系CODESYS支持中心来了解更新的额外信息。
NCCIC/ICS-CERT鼓励所有者采取额外的措施来保护这些风险及其他的安全风险。
[*]尽可能的少暴露控制系统设备或系统自身的网络,并确保他们不被互联网访问。
[*]在本地控制系统网络和远程设备之间部署防火墙,并将控制网络与企业网络隔离。
[*]如果需要远程访问,采用安全的方法,例如VPN,VPN被认为是唯一安全的访问方式。
NCCIC/ICS-CERT当然还提供了针对工业控制信息安全方面的建议在此路径下
http://ics-cert.us-cert.gov/content/recommended-practices.
很多建议是可以读的,并且可以下载,包括《采用纵深防御策略来提高工业控制系统信息安全》。NCCIC/ICS-CERT 建议各部门进行在部署安全防御时,先适当的进行安全分析和风险评估。
其他相关的解决方案指导和建议发布在了NCCIC/ICS-CERT的技术信息文章上,ICS-TIP-12-146-01Bg,该文章可以在NCCIC/ICS-CERT的网站上下载。
各组织机构如果发现了一些有恶意嫌疑的程序,可以将其报告给NCCIC/ICS-CERT来跟踪和对应这些意外。
参考文档
[*]a.CWE-476: NULL Pointer Dereference, http://cwe.mitre.org/data/definitions/476.html, Web site last accessed January 30, 2014.
[*]b.NVD, http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0757, NIST uses this advisory to create the CVE Web site report. This Web site will be active sometime after publication of this advisory.
[*]c.CVSS Calculator, http://nvd.nist.gov/cvss.cfm?version=2&vector=AV:N/AC:M/Au:N/C:N/I:N/A:C, Web site last accessed January 30, 2014.
页:
[1]