首页 > 清静研究 > 清静转达 > 清静通告

罗克韦尔自动化工业电能表严重误差清静通告

宣布时间 2019-02-22

误差编号和级别

CVE编号：CVE-2019-19615，，，，，，危险级别：中危，，，，，，CVSS分值：厂商自评6.1，，，，，，官方未评定

CVE编号：CVE-2019-19616，，，，，，危险级别：严重，，，，，，CVSS分值：厂商自评9.8，，，，，，官方未评定

影响版本

罗克韦尔 Allen-Bradley PowerMonitor 1000所有版本

误差概述

PowerMonitor 1000是一种用于工业控制应用的电能计量装备，，，，，，如放电中心，，，，，，工业控制面板和电机控制中心。。。它可丈量电路中的电压和电流，，，，，，并通过以太网或串行网络将电源和能源参数传送给FactoryTalk EnergyMetrixTM，，，，，，SCADA系统和可编程控制器等应用。。。

CVE-2019-19615，，，，，，一个跨站剧本误差，，，，，，可以让远程攻击者将恣意代码注入目的用户的Web浏览器以获取对受影响装备的会见权限。。。

CVE-2019-19616，，，，，，一种身份验证绕过，，，，，，可以允许远程攻击者使用署理来启用通常对具有Web应用程序治理权限的职员可用的功效。。。绕过身份验证后，，，，，，攻击者可以更改用户设置和装备设置。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

误差验证

POC：

ACSI的Luca Chiou，，，，，，在NCCIC（国家网络清静和通讯集成中心）中发明并报告这两个误差，，，，，，同时也宣布了针对这两个误差的POC

https://www.exploit-db.com/exploits/45928

https://www.exploit-db.com/exploits/45937

修复建议

现在还没有针对这些缺陷的可用修复程序。。。关注官网网站的更新：

https://rockwellautomation.custhelp.com/app/answers/detail/a_id/1084790

参考链接

https://ics-cert.us-cert.gov/advisories/ICSA-19-050-04

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

软件升级

投资者关系

清静研究