美国国土安全部下属的网络安全和基础设施安全局（CISA）日前发布一则安全公告，称Equinox公司的Control Expert管理平台存在一个超危漏洞，提醒所有用户注意安全风险。

Equinox成立于2012年，总部位于阿根廷的布宜诺斯艾利斯，该公司的主要业务为开发和销售用于工业应用程序和过程自动化的HMI/SCADA解决方案。Control Expert是Equinox公司开发的一套HMI/SCADA管理平台。

Equinox公司的产品主要在南美洲的阿根廷和乌拉圭销售，用于电力、石油和天然气、供水、农业和可再生能源等行业。

该漏洞的编号为CVE-2019-18234，是由安全研究人员Juan Pablo Lopez Yacubian发现并报送给美国CISA的。这是一个SQL注入漏洞，远程攻击者可利用该漏洞执行任意代码。该漏洞的CVSS v3评分为9.8。所有版本的Control Expert都受到漏洞的影响。

CISA建议用户采取以下防御性措施将漏洞被利用的风险降到最低：

Ø 在厂商发布安全更新后，从厂商处获取安全更新，并打补丁；

Ø 最小化所有控制系统设备或系统的网络暴露，确保从互联网上无法访问这些设备或系统；

Ø 实施防火墙规则，阻止或限制互联网和内网对数据库系统的访问；

Ø 加固内部系统，防止本地网络上已被入侵的系统造成的潜在威胁；

Ø 实施防火墙规则，屏蔽已知的恶意IP地址；

Ø 确定防火墙后面的控制系统网络和远程设备的位置，并将它们与业务网络隔离开；

Ø 只运行执行既定功能所需要的最低要求的应用程序和服务。可能的话，禁用所有不必要的应用程序和服务；

Ø 禁用可能造成不利影响的SQL存储过程调用；

Ø 不要泄露内部数据库结构、表单名称，或账户名；

Ø 过滤或验证输入；

Ø 删除/禁用不需要的账户（包括默认账户）；

               Ø 删除/禁用不需要的存储过程/预编译语句。