?聚焦源代碼安全，網羅國內外最新資訊！

編譯：代碼衛士

安全研究員 Michael Heinzl在俄羅斯專業無線通信和工業自動化公司 Elcomplus 生產的工業產品中發現了多個漏洞，其中一些是嚴重和高危級別。

Heinzl 在 Elcomplus 公司的SmartPTT SCADA 產品中共發現9個漏洞。該產品結合了SCADA/IIoT 系統和專業無線電系統分派軟件的能力。另外，專事SCADA和工業IoT 虛擬化平臺的SmartICS 生產的產品因共享代碼，也受某些漏洞影響。

受影響產品遍布90個國家的2000多家組織機構，其中美國也在受影響范圍之列，其網絡安全和基礎設施安全局 (CISA) 本周發布兩份安全公告向組織機構通知相關漏洞情況。Heinzl 也分別為每個漏洞發布安全公告。

這些安全漏洞包括路徑遍歷、跨站點腳本、任意文件上傳、授權繞過、跨站點請求偽造和信息泄露等。這些漏洞如遭利用可導致攻擊者上傳文件、在系統上讀或寫任意文件、獲取以明文形式存儲的憑據、代表用戶執行多種操作、執行任意代碼以及提權訪問管理員功能。在某些情況下，漏洞利用要求認證或用戶交互（如點擊鏈接或訪問某些頁面）。

Heinzl在2021年4月通過CISA將漏洞告知廠商，后者于2021年年底發布補丁。

這并非Heinzl 首次發現ICS漏洞。去年，他從日本電子巨頭歐姆龍生產的XC-Programmer PLC 編程軟件、富士電機的Tellus 工廠監控和操作產品、臺達電子的DIAEnergie 工業能源管理系統和捷克工業自動化公司mySCADA 的myPRO HMI/SCADA 產品中發現了多個缺陷。

---

代碼衛士試用地址：https://codesafe.qianxin.com

開源衛士試用地址：https://oss.qianxin.com

---

推薦閱讀

橫河電機修復多個工控產品漏洞，可用于破壞和操縱物理進程

工控2月補丁星期二：西門子、施耐德電氣修復近50個漏洞

很多工控產品都在用的 CODESYS 軟件中被曝10個嚴重漏洞

黑客利用 VPN 漏洞遠程入侵工控系統

原文鏈接

https://www.securityweek.com/several-critical-vulnerabilities-affect-smartppt-smartics-industrial-products

題圖：Pixabay License

本文由奇安信編譯，不代表奇安信觀點。轉載請注明“轉自奇安信代碼衛士 https://codesafe.qianxin.com”。

奇安信代碼衛士 (codesafe)

國內首個專注于軟件開發安全的產品線。

? ??覺得不錯，就點個?“在看” 或 "贊” 吧~

總結

以上是生活随笔為你收集整理的SmartPTT、SmartICS 工业产品存在多个严重漏洞，影响全球90国的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。