Mitsubishi Electric及其子公司ICONICS发布补丁，修复今年年初在迈阿密Pwn2Own黑客大赛ICS项目中发现的安全漏洞。

白帽黑客在今年1月份Zero Day Initiative举办的Pwn2Own大赛上凭借演示的漏洞利用赚取了总计28万美金的奖金，包括凭借在ICONICS的Genesis64 HMI/SCADA产品中发现的漏洞赢取的8万美金。

成功入侵ICONICS产品的研究人员为Flashback团队的Pedro Ribeiro和Radek Domanski；Horst Goertz信息技术安全研究所的Tobias Scharnowski，Niklas Breitfeld和Ali Abbasi；Claroty的Yehuda Anikster；和Incite团队的Steven Seeley和Chris Anastasio。

他们向ICONICS报告了五个超危和高危安全漏洞，包括可允许远程攻击者通过向目标系统发送特殊构造的数据包执行任意代码和发动拒绝服务攻击的安全漏洞，和允许攻击者执行任意SQL命令的安全漏洞。这些漏洞编号为CVE-2020-12011、CVE-2020-12015、CVE-2020-12009、CVE-2020-12013和CVE-2020-12007。

这些漏洞不仅影响ICONICS的Genesis64，Hyper Historian，AnalytiX，MobileHMI，Genesis32和BizViz，还影响Mitsubishi的MC Works64和MC Works32 SCADA软件。美国网络安全和基础设施安全局（CISA）和厂商已经就受影响的 ICONICS和Mitsubishi产品分别发布了安全公告。

ZDI对外媒SecurityWeek表示，它将尽快就迈阿密Pwn2Own大赛上发现的ICONICS发布安全公告。

工业网络安全攻击Claroty发现CVE-2020-12015，一个可被用于拒绝服务攻击的反序列化漏洞。这是该公司在Pwn2Own大赛上演示的五个漏洞之一，其他安全漏洞影响其他厂商的产品。

“ICONICS Genesis64软件是一个人机交互（HMI）服务，可连接和监测许多不同的工厂设备。该产品可被用于监测和控制自动化世界不同垂直方向的物理过程。这意味着，通过拒绝服务攻击禁用该软件会损害控制过程的能力，并导致其关闭。” Claroty的研究团队主管Nadav Erez在电子邮件中写道。

Erez解释道，“攻击者可通过对这种服务的远程代码执行攻击更改受工程师监测的值，因而也损害该过程的安全性。所有报告的漏洞都不需要身份认证，因此，可访问该网络的攻击者可利用这些漏洞攻击该服务。”

本文源自Security Week；转载请注明出处。