据外媒报道，工业网络安全公司Claroty研究员近日披露，Opto22的SoftPAC虚拟可编程自动化控制器中存在五个安全漏洞，允许黑客任意攻击OT网络。

图片来源：Pexels

据悉，这些漏洞分别被追踪为 CVE-2020-12042、 CVE-2020-12046、 CVE-2020-10612、CVE-2020-10616、 CVE-2020-10620，允许未经身份验证的黑客任意访问SoftPAC代理，制造虚拟SoftPAC Monitor，建立远程连接，执行启动、停止或固件更新命令。

值得注意的是，这些类型的虚拟控制器可以用作OT网络的入口点，黑客与SoftPAC代理启动连接后，利用DLL攻击和固件更新漏洞在目标系统SoftPAC Agent上执行任意代码。SoftPACProject 9.6和之前版本均受影响。

图片来源：Pexels

截至目前，该公司已公布此次漏洞导致的攻击事件，并发布最新修复版本10.3，建议用户尽快更新，以免遭受攻击。