首頁 > 安全研究 > 安全通報 > 安全通告

Phoenix Contact Emalytics Controller ILC 2050 BI漏洞風險通告

發布時間 2020-03-05

漏洞編號和級別


CVE編號:CVE-2020-8768,危險級別:嚴重,CVSS分值:9.4


影響版本


Emalytics Controller ILC 2050 BI (貨號2403160)1.2.3之前的所有版本

Emalytics Controller ILC 2050 BI-L (貨號2404671)1.2.3之前的所有版本


漏洞概述


德國Phoenix Contact,是一家電氣連接和電子接口領域、工業自動化領域的廠商,主要產品包括HMI和工控機、工業通信技術、PLC和I/O系統、工業云計算、保護性設備、控制器系統布線、電子開關裝置和馬達控制器等,業務觸及電力、電子、通訊、機械、石油、化工、工業自動化行業等多個領域。


Emalytics Controller ILC 2050 BI是Phoenix Contact公司的一款用于建筑物、基礎設施等自動化連接的模塊化串聯控制器。


Emalytics Controller ILC 2050 BI設備配置的讀取/寫入訪問權限機制不安全,通過檢查該設備在網站上的連接就可發現該訪問機制。如果在不受保護的開放網絡中使用該設備,遠程攻擊者可利用該漏洞修改設備的配置,啟動和停止服務。對該漏洞的利用無需身份認證,且無需高超的攻擊技巧。


漏洞驗證


暫無PoC/EXP。


修復建議


目前廠商已發布升級補丁以修復漏洞,更新的版本可在供應商的產品頁面上找到:https://www.phoenixcontact.com/online/portal/us?uri=pxc-oc-itemdetail:pid=2403160&library=usen&tab=1。


參考鏈接


https://www.us-cert.gov/ics/advisories/icsa-20-063-02


上一篇 下一篇