一��、漏洞概述
Rockwell Automation RSLogix 5 and RSLogix 500是由美国罗克韦尔��(Rockwell Automation)公司推出两款广泛使用的编程软件��,用于开发和维护 Allen-Bradley PLC���(可编程逻辑控制器)的控制程序。RSLogix 5 主要面向 SLC 500 系列 PLC����,适用于更复杂的控制系统����,而 RSLogix 500 则主要面向 MicroLogix 系列 PLC����,适用于小型和简单的控制系统。
Rockwell Automation RSLogix 5 and RSLogix 500在所有版本中存在命令执行漏洞��,该漏洞源于数据真实性验证不足���,攻击者使用嵌入式 VBA 恶意脚本����,将脚本配置为在打开项目文件时自动运行。当用户打开受感染的 RSP 或 RSS 项目文件时���,恶意代码会被执行。
二���、以下是漏洞详情��:
三��、受影响的产品
以下版本的Rockwell Automation存在这些问题��:
-RSLogix 500���:所有版本
-RSLogix Micro Developer 和 Starter��:所有版本
-RSLogix 5��:所有版本
四���、处置方法
1���、Rockwell Automation官方建议受影响的用户顺利获得策略禁用VBA���,阻止VBA代码执行危害
2��、加强访问控制���,使用银河国际(中国)工业防火墙����、工业网闸等产品进行隔离保护
3����、使用银河国际(中国)工业卫士阻止不受信任的网络和主机访问并实行白名单防护
4���、使用银河国际(中国)神探及时发现未知威胁
五����、参考链接
http://www.cisa.gov/news-events/ics-advisories/icsa-24-263-01
银河国际(中国)超弦实验室将持续跟踪安全情报变化��,及时发布相关信息���,若有需要����,请联系400-6060-270
