霍尼韦尔Experion PKS和ACE控制器发现多个关键缺陷

美国网络安全和基础设施安全局（CISA）周二发布了一份关于影响霍尼韦尔Experion Process Knowledge System C200、C200E、C300和ACE控制器所有版本的多个安全漏洞的建议，这些漏洞可被利用来实现远程代码执行和拒绝服务（DoS）条件。

霍尼韦尔在今年2月早些时候发布的一份独立安全通知中指出：“一个控制组件库（CCL）可能会被一个坏角色修改并加载到一个控制器，从而使控制器执行恶意代码。”。工业网络安全公司Claroty的Rei Henigman和Nadav Erez发现并报告了这些漏洞。

Experion Process Knowledge System（PKS）是一个分布式控制系统（DCS），旨在控制从石化炼油厂到核电厂等多个领域的大型工业过程，其中高可靠性和安全性非常重要。

下面列出了三个缺陷-

• CVE-2021-38397（CVSS分数：10.0）-无限制上传危险类型的文件
• CVE-2021-38395（CVSS分数：9.1）-下游组件使用的输出中的特殊元素中和不当
• CVE-2021-38399（CVSS分数：7.5）-相对路径遍历

根据Claroty的说法，问题取决于下载代码过程，这对于编写控制器中运行的逻辑至关重要，从而使攻击者能够模拟该过程并上传任意CLL二进制文件。研究人员Henigman和Erez说：“然后，该设备在不进行检查或消毒的情况下加载可执行文件，使攻击者能够上传可执行文件，并在没有身份验证的情况下远程运行未经授权的本机代码。”。

简而言之，成功利用这些缺陷可能会允许恶意方访问未经授权的文件和目录，更糟糕的是，远程执行任意代码并造成拒绝服务情况。为了防止向控制器加载带有恶意代码的修改过的CCL，霍尼韦尔通过对每个在使用前经过验证的CCL二进制文件进行加密签名，加入了额外的安全增强功能。

督促用户尽快更新或修补，以充分缓解这些漏洞。