在日本电子和电气设备制造公司三菱电机制造的工厂自动化产品中发现了两个潜在的严重漏洞。

　　在上周发布的一份公告中，三菱电机表示，一些工厂自动化（FA）产品受到高严重性身份验证绕过和关键远程代码执行漏洞的影响。

　　“未经身份验证的远程攻击者可能能够通过发送特别构建的数据包来绕过身份验证并非法连接到产品 （CVE-2023-6942），”供应商解释说。“此外，攻击者可能能够在连接到产品时通完美体育 完美平台过远程调用具有恶意库路径的函数来执行恶意代码 （CVE-2023-6943）。因此，未经授权的用户可能会披露、篡改、破坏或删除产品中的信息，或导致产品出现拒绝服务 （DoS） 情况。

　　该公司尚未发布补丁。已建议受影响产品的用户实施一般网络安全措施，以降低被利用的风险。

　　工业网络安全公司Dragos的漏洞分析师里德·怀特曼（Reid Wightman）因向三菱报告这些问题而受到赞誉，他告诉SecurityWeek，这些漏洞可以直接从互联网上利用，但目前尚不清楚是否有任何系统可以从网络上直接访问。

　　“这是一个专有的网络协议，像Shodan这样的搜索引擎目前不会寻找暴露的服务。完美体育 WM365虽然我们希望没有人使用这个软件直接将他们的计算机暴露在互联网上，但这些事情有时会发生，“Wightman解释说。

　　至于在现实世界攻击场景中的潜在影响，研究人员解释说：“如果攻击者以这些系统为目标，他们将获得对工程工作站的高特权访问。这意味着攻击者可能会与PLC进行通信并重新编程，并在工程工作站上安装新的实用程序。

　　在许多针对具有工业控制系统 （ICS） 和其他运营技术 （OT） 环境的组织的攻击中，工程工作站已被用作初始访问媒介。

　　同一天，Mitsubishi 和 CISA 还发布了公告，描述了另一个身份验证绕过问题，该问题影响了 MELSEC WS 系列以太网接口模块。但是，此缺陷的严重性等级仅为“中等”，因为漏洞利用涉及中间人攻击。

　　“未经身份验证的远程攻击者可以通过捕获重放攻击绕过身份验证并非法登录模块。因此，非法登录的远程攻击者可能能够泄露或篡改模块中的程序和参数，“供应商说。

　　值得注意的是，三菱电机似乎正在投入大量精力来解决其产品中发现的漏洞。该公司去年发布了 36 个安全公告，大量公告通常表明该公司认真对待漏洞报告。

　　特别声明：以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布，本平台仅提供信息存储服务。

　　广西一男子开直升机回村过年：从老婆娘家到自家飞了50多公里，花了10多分钟

　　梅西抵达日本后回应缺战香港行比赛：没受伤但还是感觉不舒服，希望能再去香港

　　MicroLED Apple Watch Ultra 可能因供应链问题而推迟上市

　　苹果Vision Pro跌落测试砸碎两块瓷砖！5750元的玻璃完好无损