freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

美国CISA告警,Equinox公司的Control Expert管理平台存在超危漏洞
2020-01-02 15:07:03

Equinox.png

美国国土安全部下属的网络安全和基础设施安全局(CISA)日前发布一则安全公告,称Equinox公司的Control Expert管理平台存在一个超危漏洞,提醒所有用户注意安全风险。

Equinox成立于2012年,总部位于阿根廷的布宜诺斯艾利斯,该公司的主要业务为开发和销售用于工业应用程序和过程自动化的HMI/SCADA解决方案。Control Expert是Equinox公司开发的一套HMI/SCADA管理平台。

Equinox公司的产品主要在南美洲的阿根廷和乌拉圭销售,用于电力、石油和天然气、供水、农业和可再生能源等行业。

阿根廷乌拉圭.png

该漏洞的编号为CVE-2019-18234,是由安全研究人员Juan Pablo Lopez Yacubian发现并报送给美国CISA的。这是一个SQL注入漏洞,远程攻击者可利用该漏洞执行任意代码。该漏洞的CVSS v3评分为9.8。所有版本的Control Expert都受到漏洞的影响。

CISA建议用户采取以下防御性措施将漏洞被利用的风险降到最低:

Ø 在厂商发布安全更新后,从厂商处获取安全更新,并打补丁;

Ø 最小化所有控制系统设备或系统的网络暴露,确保从互联网上无法访问这些设备或系统;

Ø 实施防火墙规则,阻止或限制互联网和内网对数据库系统的访问;

Ø 加固内部系统,防止本地网络上已被入侵的系统造成的潜在威胁;

Ø 实施防火墙规则,屏蔽已知的恶意IP地址;

Ø 确定防火墙后面的控制系统网络和远程设备的位置,并将它们与业务网络隔离开;

Ø 只运行执行既定功能所需要的最低要求的应用程序和服务。可能的话,禁用所有不必要的应用程序和服务;

Ø 禁用可能造成不利影响的SQL存储过程调用;

Ø 不要泄露内部数据库结构、表单名称,或账户名;

Ø 过滤或验证输入;

Ø 删除/禁用不需要的账户(包括默认账户);

               Ø 删除/禁用不需要的存储过程/预编译语句。

本文作者:, 转载请注明来自FreeBuf.COM

# Equinox
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑