能源行业多款常用工控系统被爆漏洞

xman

       西门子 SICAM 电力自动化系统 (PAS)被爆2漏洞，目前供应商已经修补完成了其中1个缺陷，另一个正在处理中。

图  SICAM PAS

       SICAM PAS 是一款基于Windows 的被称为灵活、高效、可扩展、易操作的电力变电站自动化运营系统，被全球多家能源公司所采用。

       研究人员发现了该产品，可以被本地攻击者所利用的2个信息，并由ICS CERT进行了发布。

       其中一个漏洞是 (CVE-2016-5848)，由于用户名密码的非正确保护，而使得攻击者可以重新构建相关信息；另一个是(CVE-2016-5849)，黑客可以利用其访问敏感的配置数据。

       漏洞 (CVE-2016-5848) 通过 SICAM PAS 8.07 已经得到解决，而(CVE-2016-5849)还在定位解决中，目前西门子已告知客户联系其支持中心，以获取如何减轻由未修补的缺陷带来的安全威胁！

       无独有偶，上周四ICS还曝光了若干其它能源部门常用产品的漏洞，包括：经常被电网运营商用于配置 PLC 的Eaton’s ELCSoft，受到了2个可以内存漏洞，可以利用其在目标系统上执行任意代码。

       该漏洞由 Ariele Calgaviano 通过 Zero Day Initiative (ZDI) 曝光，影响ELCSoft 2.4.01 以及更早的版本。

       由于这些漏洞涉及到能源系统内众多常用信息基础设施，Pr0.S建议相关机构要迅速采取应对举措~！