在最新的网络安全研究中,安全研究人员披露了影响施耐德电气 Electric Modicon 可编程逻辑控制器 PLC 的2个新安全漏洞,这些漏洞可以绕过身份验证和远程执行代码。
根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,这些安全漏洞被标记为 CVE-2022-45788(CVSS 评分:7.5)和 CVE-2022-45789(CVSS 评分:8.1),成功利用这些漏洞可能使对手能够执行未经授权的代码、拒绝服务或泄露敏感信息。
安全研究人员表示,具有其他供应商已知漏洞(例如 CVE-2021-31886)的攻击者可以将这些漏洞链接起来,以实现对运营技术 (OT) 网络的深度横向移动。
极牛攻防实验室表示,深度横向移动让攻击者能够深入访问工业控制系统并跨越经常被忽视的安全边界,从而使他们能够执行高度精细和隐秘的操作,并超越功能和安全限制。
施耐德电气公司设计的高度复杂的概念验证 (PoC) 网络物理攻击发现,可以将这些漏洞武器化以绕过安全防护,并对可移动的桥梁基础设施造成损害。
随着攻击者炮制复杂的恶意软件来破坏工业控制系统,这些漏洞提供的深度横向移动可能允许对手使用边缘设备作为跳板,从而接近更敏感的核心设备。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.