鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静通告

Fuji Electric多个清静误差

宣布时间 2021-01-29

0x00 误差概述

2021年01月26日，，，美国网络清静和基础设施清静局（CISA）宣布清静通告，，，披露了工业组织日本电气装备公司Fuji Electric生产的部分SCADA / HMI产品Tellus和V-Server中的多个清静误差。。。。。

0x01 误差详情

Tellus和V-Server 产品可远程监控和控制工厂的装备，，，它们在要害的制造业中被普遍接纳。。。。。

这些误差是对用户提供的数据缺乏准确验证导致的，，，可能触发缓冲区溢出并因此导致恣意代码执行。。。。。使用这些误差需要用户交互，，，攻击者可以通过诱骗目的用户翻开恶意项目文件来触发误差，，，最终执行恣意代码。。。。。

本次披露的误差如下：

CVE	类型	CVSS评分	严重水平
CVE-2021-22637	基于堆的缓冲区溢出	7.8	高危
CVE-2021-22655	越界读取	7.8	高危
CVE-2021-22653	越界写入	7.8	高危
CVE-2021-22639	代码执行	7.8	高危
CVE-2021-22641	基于堆的缓冲区溢出	7.8	高危

Fuji Electric基于堆的缓冲区溢出误差（CVE-2021-22637）

在应用程序处置惩罚项目文件的方法中保存一个基于客栈的缓冲区溢出误差，，，从而使攻击者可以制作执行恣意代码的恶意项目文件，，，其CVSS评分7.8。。。。。

Fuji Electric越界读取误差（CVE-2021-22655）

在应用程序处置惩罚项目文件的方法中保存一个越界读取误差，，，从而使攻击者可以制作执行恣意代码的恶意项目文件，，，其CVSS评分7.8。。。。。

Fuji Electric越界写入误差（CVE-2021-22653）

该误差保存于应用程序处置惩罚项目文件的方法中，，，乐成使用此误差的攻击者可以制作恶意的项目文件，，，最终执行恣意代码，，，其CVSS评分7.8。。。。。

Fuji Electric代码执行误差（CVE-2021-22639）

在应用程序处置惩罚项目文件的方法中保存未初始化的指针问题，，，从而使攻击者可以制作执行恣意代码的恶意项目文件，，，其CVSS评分7.8。。。。。

Fuji Electric基于堆的缓冲区溢出误差（CVE-2021-22641）

在应用程序处置惩罚项目文件的方法中发明了基于堆的缓冲区溢出误差，，，攻击者可以通过制作恶意的项目文件来执行恣意代码，，，其CVSS评分7.8。。。。。

影响规模

Tellus Lite V-Simulator：v4.0.10.0之前的版本

V-Server Lite：v4.0.10.0之前的版本

0x02 处置惩罚建议

建议升级至v4.0.10.0版本。。。。。

下载链接：

https://felib.fujielectric.co.jp/download/details.htm?dataid=43821668&site=global&lang=en

0x03 参考链接

https://securityaffairs.co/wordpress/113950/ics-scada/fuji-electric-hmi-flaws.html?utm_source=rss&utm_medium=rss&utm_campaign=fuji-electric-hmi-flaws

https://us-cert.cisa.gov/ics/advisories/icsa-21-026-01

https://felib.fujielectric.co.jp/download/details.htm?dataid=43821669&site=global&lang=en

0x04 时间线

2021-01-26 CISA宣布清静通告

2021-01-29 VSRC宣布清静通告

0x05 附录

CVSS评分标准官网：http://www.first.org/cvss/

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】