首页 > 清静研究 > 清静转达 > 清静通告

罗克韦尔自动化工业电能表严重误差清静通告

宣布时间 2019-02-22

误差编号和级别

CVE编号：CVE-2019-19615，，，，，，，危险级别：中危，，，，，，，CVSS分值：厂商自评6.1，，，，，，，官方未评定

CVE编号：CVE-2019-19616，，，，，，，危险级别：严重，，，，，，，CVSS分值：厂商自评9.8，，，，，，，官方未评定

影响版本

罗克韦尔 Allen-Bradley PowerMonitor 1000所有版本

误差概述

PowerMonitor 1000是一种用于工业控制应用的电能计量装备，，，，，，，如放电中心，，，，，，，工业控制面板和电机控制中心。。。。。。它可丈量电路中的电压和电流，，，，，，，并通过以太网或串行网络将电源和能源参数传送给FactoryTalk EnergyMetrixTM，，，，，，，SCADA系统和可编程控制器等应用。。。。。。

CVE-2019-19615，，，，，，，一个跨站剧本误差，，，，，，，可以让远程攻击者将恣意代码注入目的用户的Web浏览器以获取对受影响装备的会见权限。。。。。。

CVE-2019-19616，，，，，，，一种身份验证绕过，，，，，，，可以允许远程攻击者使用署理来启用通常对具有Web应用程序治理权限的职员可用的功效。。。。。。绕过身份验证后，，，，，，，攻击者可以更改用户设置和装备设置。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

误差验证

POC：

ACSI的Luca Chiou，，，，，，，在NCCIC（国家网络清静和通讯集成中心）中发明并报告这两个误差，，，，，，，同时也宣布了针对这两个误差的POC

https://www.exploit-db.com/exploits/45928

https://www.exploit-db.com/exploits/45937

修复建议

现在还没有针对这些缺陷的可用修复程序。。。。。。关注官网网站的更新：

https://rockwellautomation.custhelp.com/app/answers/detail/a_id/1084790

参考链接

https://ics-cert.us-cert.gov/advisories/ICSA-19-050-04

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究