首页 > 安全钻研 > 安全传递 > 安全公告

西门子S7-1200 PLC产品安全缝隙风险公告

颁布功夫 2019-12-05

缝隙编号和级别

CVE编号：CVE-2019-13945，危险级别：中危，CVSS分值：厂商自评：6.8 ，官方未评定

影响版本

S7-1200所有版本

缝隙概述

Siemens S7-1200 CPU中存在安全缝隙。攻击者可利用该缝隙接见其他诊断职能，影响系统的齐全性、可用性和保密性。

西门子最近颁布了一份安全布告，其中蕴含针对钻研人员在其S7-1200可编程逻辑节造器（PLC）中发现的缝隙的变通法子缓和解措施，该缝隙可用于绕过固件齐全性查抄以加载恶意软件或劫持设备的工业流程。西门子暗示：“我们在审查GA黄金甲产品模型，并将在SSA-686531上颁布更新，以防其他模型受到影响。钻研人员还发现，可编程逻辑节造器（PLC）中的特殊接见职能也能够很好地用作：作为防御者的取证工具。他们利用该职能查看PLC存储器的内容，因而工厂操作员也能够使用它来查找设备上的恶意代码。

缝隙验证

暂无POC/EXP。

建复建议

目前厂商暂未颁布建复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决法子：https://www.siemens.com；

S7-122 CPU的用户能够选取这些变通法子缓和解措施来降低风险：

1.确保物理接见�；�；

2.利用深度防御。

参考链接

https://www.darkreading.com/vulnerabilities---threats/siemens-offers-workarounds-for-newly-found-plc-vulnerability/d/d-id/1336503

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

西门子S7-1200 PLC产品安全缝隙风险公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线