首頁 > 安全研究 > 安全通報 > 安全通告

Rittal Chiller SK 3232-Series安全漏洞安全通告

發布時間 2019-10-31

漏洞編號和級別


CVE編號:CVE-2019-13549,危險級別:嚴重,CVSS分值:廠商自評:9.1,官方未評定

CVE編號:CVE-2019-13553,危險級別:嚴重,CVSS分值:廠商自評:9.1,官方未評定


影響版本



Carel pCOWeb(A1.5.3版本至B1.2.4版本固件)


漏洞概述


Rittal Chiller SK 3232-Series是德國威圖(Rittal)公司的一款液體冷卻設備。


CVE-2019-13549

Rittal Chiller SK 3232-Series中的Web接口存在安全漏洞,該漏洞源于身份驗證機制未進行充分保護來阻止未授權的配置更改。允許攻擊者通過導航到一個特定的URI來繞過身份驗證和訪問關鍵功能。


CVE-2019-13553

Rittal Chiller SK 3232-Series中的Web接口存在信任管理問題漏洞。該漏洞與允許攻擊者訪問系統的硬編碼憑據有關。攻擊者可利用該漏洞影響一些基本操作,例如打開或關閉制冷設備。


漏洞驗證


暫無POC/EXP。


修復建議


目前廠商暫未發布修復措施解決此安全問題,建議使用此軟件的用戶隨時關注廠商主頁或參考網址以獲取解決辦法:https://www.rittal.com。


緩解措施:


最小化所有控制系統設備和/或系統的網絡暴露,并確保不能從Internet訪問它們;

在防火墻后面找到控制系統網絡和遠程設備,并將其與業務網絡隔離;

當需要遠程訪問時,請使用安全方法,例如虛擬專用網絡(VPN),并確認VPN可能存在漏洞,應將其更新為可用的最新版本。還應認識到VPN僅與連接的設備一樣安全。


參考鏈接


https://www.us-cert.gov/ics/advisories/icsa-19-297-01

上一篇 下一篇