一、漏洞概述
GE Digital CIMPLICITY是美国通用电气(GE)公司的一款人机界面(HMI)和监控软件平台。用户可以通过CIMPLICITY创建自定义的图形界面,以直观地监视和控制各种设备、机器和过程,CIMPLICITY 还支持与其他自动化和控制系统集成,例如PLC(可编程逻辑控制器)、DCS(分散控制系统)和SCADA(监控、控制和数据采集系统)。这使得它成为在工业领域中管理和优化生产过程的重要工具。
GE Digital CIMPLICITY 所有版本存在安全漏洞。该漏洞系统接受不受控制的文档从而导致堆的缓冲区溢出,攻击者利用此漏洞来实现缓冲区溢出、越界读写、任意命令执行。
以下是漏洞详情:
二、受影响的产品
以下版本GE Digital 受到影响:
l CIMPLICITY: All versions
三、严重等级
六方云超弦实验室评级为:高危
四、处置方法
1、目前GE已发布升级补丁以修复漏洞,详情请关注厂商主页。
2、加强访问控制,使用六方云工业防火墙、工业网闸等产品进行隔离保护。
3、使用六方云工业卫士阻止不受信任的网络和主机访问并做好白名单防护。
4、使用六方云神探及时发现未知威胁。
五、参考链接
https://www.cisa.gov/news-events/ics-advisories/icsa-23-199-06
六方云超弦实验室将持续跟踪安全情报变化,及时发布相关信息,若有需要,请联系400-6060-270
-END-
