首页 -> 安全研究

安全研究

安全漏洞
Schneider Electric IGSS 访问控制漏洞(CVE-2020-7479)

发布日期:2020-03-20
更新日期:2020-03-25

受影响系统:
Schneider Electric Interactive Graphical Scada System <= 14
描述:
CVE(CAN) ID: CVE-2020-7479

Schneider Electric IGSS是一套用于监控和控制工业过程的交互式图形SCADA系统。

使用IGSSupdate服务的Schneider Electric IGSS 14及之前版本,在实现中存在关键功能访问控制漏洞。在发送本地网络命令到IGSS更新服务时,本地用户可利用此漏洞提升权限,执行进程。

<*来源:Trend Micro’s Zero Day Initiative (ZDI)
  
  链接:https://www.us-cert.gov/ics/advisories/icsa-20-084-02
*>

建议:
厂商补丁:

Schneider Electric
------------------
Schneider Electric已经提供了IGSS14 14.0.0.20009版本修复了这些漏洞,建议用户更新到最新版本:
http://igss.schneider-electric.com/igss/igssupdates/v140/IGSSUPDATE.zip

也可通过下列临时措施降低风险:
*无需使用此服务安装更新,禁用IGSS Update服务。
*基础设施不连网,对可疑人员及资源禁止Windows登录及网络访问。
更多信息,请参考https://www.se.com/ww/en/download/document/SEVD-2020-070-01/

浏览次数:1
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障