CX-Supervisor允许快速创建用于监视控制和数据采集(SCADA)系统的人机界面(HMIs),这得益于大量预定义功能和库的可用性。该软件广泛应用于多个行业,主要是能源行业。
CVE-2018-19027缺陷影响CX-One产品,该缺陷于2018-07-02报告给供应商,于20119-01-14公开披露。
该漏洞允许远程攻击者在OMRONCX-Onecx协议的脆弱安装上执行任意代码。利用此漏洞需要用户交互,因为目标必须访问恶意页面或打开恶意文件。ZDI发布的咨询报告称。
具体的缺陷存在于PSW文件的处理中。这个问题是由于缺乏对用户提供的数据的正确验证,这可能会导致类型混淆。攻击者可以利用这个漏洞在当前进程的上下文中执行代码。
CX-Supervisor欧姆龙
ICS-CERT发布了一份咨询报告,其中包括专家发现的所有漏洞的详细信息,所解决的问题包括无使用后、对用户提供的输入缺乏适当的验证以及类型混淆问题,攻击者可以利用这些问题在脆弱系统上执行任意代码。
“错误中和命令中使用的特殊元素(‘命令注入’)CWE-77”允许和攻击者通过使用专门制作的项目文件注入命令来删除系统上的文件和/或文件的内容。利用这个漏洞,跟踪CVE-2018-19013可以导致DoS条件,该问题已经收到的基本分数。
CX-Supervisor的3.5.0.11版本已经解决了这些漏洞。
ICS-CERT还建议升级开发项目并以新格式保存,然后以最新的3.5.0.11格式重新构建。
Pierluigi帕格尼尼
证券事务监察主任(证券事务监察主任)
