美国国土安全部下属的网络安全和基础设施安全局(CISA)日前发布一则安全公告,称Equinox公司的Control Expert管理平台存在一个超危漏洞,提醒所有用户注意安全风险。
Equinox成立于2012年,总部位于阿根廷的布宜诺斯艾利斯,该公司的主要业务为开发和销售用于工业应用程序和过程自动化的HMI/SCADA解决方案。Control Expert是Equinox公司开发的一套HMI/SCADA管理平台。
Equinox公司的产品主要在南美洲的阿根廷和乌拉圭销售,用于电力、石油和天然气、供水、农业和可再生能源等行业。
该漏洞的编号为CVE-2019-18234,是由安全研究人员Juan Pablo Lopez Yacubian发现并报送给美国CISA的。这是一个SQL注入漏洞,远程攻击者可利用该漏洞执行任意代码。该漏洞的CVSS v3评分为9.8。所有版本的Control Expert都受到漏洞的影响。
CISA建议用户采取以下防御性措施将漏洞被利用的风险降到最低:
Ø 在厂商发布安全更新后,从厂商处获取安全更新,并打补丁;
Ø 最小化所有控制系统设备或系统的网络暴露,确保从互联网上无法访问这些设备或系统;
Ø 实施防火墙规则,阻止或限制互联网和内网对数据库系统的访问;
Ø 加固内部系统,防止本地网络上已被入侵的系统造成的潜在威胁;
Ø 实施防火墙规则,屏蔽已知的恶意IP地址;
Ø 确定防火墙后面的控制系统网络和远程设备的位置,并将它们与业务网络隔离开;
Ø 只运行执行既定功能所需要的最低要求的应用程序和服务。可能的话,禁用所有不必要的应用程序和服务;
Ø 禁用可能造成不利影响的SQL存储过程调用;
Ø 不要泄露内部数据库结构、表单名称,或账户名;
Ø 过滤或验证输入;
Ø 删除/禁用不需要的账户(包括默认账户);
Ø 删除/禁用不需要的存储过程/预编译语句。