CISA發佈了一篇CISA警告水和廢水系統中使用的Unitronics PLC遭到利用
美國國土安全部的網路安全與基礎設施安全局(CISA)於2023年11月28日發布了一份警告,指出水和廢水系統中使用的Unitronics PLC(可程式化邏輯控制器)存在多個漏洞,可能被惡意攻擊者利用,造成系統中斷、數據竊取或篡改等威脅。
Unitronics PLC是一種工業控制系統(ICS)的元件,用於監測和控制水和廢水系統的各種過程,如水壓、水位、流量、溫度等。Unitronics PLC通常與人機介面(HMI)相連,以提供操作者與系統的交互。
CISA警告中提到的漏洞包括以下幾種:
- 未經身份驗證的遠端代碼執行:攻擊者可以通過網路向Unitronics PLC發送特製的封包,觸發緩衝區溢位,並在目標設備上執行任意代碼。
- 未經身份驗證的資訊洩露:攻擊者可以通過網路向Unitronics PLC發送特製的封包,獲取設備的敏感資訊,如序列號、韌體版本、IP位址等。
- 未經身份驗證的設定修改:攻擊者可以通過網路向Unitronics PLC發送特製的封包,修改設備的設定,如網路參數、密碼、時區等。
- 未經身份驗證的設備重啟:攻擊者可以通過網路向Unitronics PLC發送特製的封包,強制設備重啟,導致系統中斷。
這些漏洞的影響範圍涵蓋了Unitronics PLC的多個型號,包括Vision、Samba、Jazz、M90/91、UniStream等。這些型號在全球範圍內廣泛使用,尤其是在美國、歐洲和亞洲。
CISA建議水和廢水系統的運營商和維護人員採取以下措施,以降低這些漏洞的風險:
- 盡快更新Unitronics PLC的韌體到最新版本。
- 將Unitronics PLC與網際網路隔離,或使用防火牆、VPN等技術保護其網路連接。
- 實施最小權限原則,限制對Unitronics PLC的訪問和控制。
- 監測Unitronics PLC的網路流量,檢測異常或惡意的活動。
- 備份Unitronics PLC的設定和數據,以便在發生攻擊時恢復正常運作。
CISA還提供了一些參考資源,以幫助水和廢水系統的相關人員提高其網路安全意識和能力,如CISA的ICS漏洞通報服務、CISA的ICS安全指南、CISA的ICS安全培訓等。
CISA表示,將繼續與Unitronics PLC的製造商和水和廢水系統的相關人員合作,以評估和減輕這些漏洞的影響,並呼籲任何發現這些漏洞的利用或其他相關資訊的人員,通過CISA的網站或電話向其報告。
詳情請看:
Exploitation of Unitronics PLCs used in Water and Wastewater Systems