北京电缆价格联盟

西门子电力监控系统存在两大信息泄露安全漏洞

黑白之道2020-07-01 07:18:01

E安全7月4日讯 据国外媒体报道,研究人员发现Siemens SICAM PAS中存在两大安全漏洞,其中一个漏洞仍未打补丁。

Positive Technologies的安全专家查看Siemens SICAM PAS(电力自动化系统)解决方案后发现,Siemens SICAM PAS存在两个信息泄露漏洞(CVE-2016-5848 和CVE-2016-5849)。

安全专家向西门子公司报告了安全问题,西门子立即修复了其中漏洞,当时正修复另一漏洞

什么是SICAM PAS?

Siemens SICAM PAS是一款为变电站设备操作提供的能源自动化解决方案。它是一个开放的系统,为系统特定任务的整合提供用户接口并提供多个自动化选项。

Siemens SICAM PAS在Windows系统上运作,特点是具有灵活性、可扩展性且应用简单。

工控系统网络应急响应小组(ICS-CERT)针对Siemens SICAM PAS的安全问题发布安全公告

ICS-CERT表示,Siemens SICAM PAS 8.07之前的老版本均存在安全问题。

公告指出:“经认证的本地用户利用这些漏洞便可在特定条件下获取敏感信息。其影响取决于每个特定组织机构的众多因素。NCCIC/ICS-CERT建议组织机构根据自身的操作环境、架构和产品实现评估漏洞造成的影响。”

运行Siemens SICAM PAS的软件没有妥善保护用户密码,攻击者可以利用漏洞重建信息(CVE-2016-5848)。

公告还指出,“经认证的本地攻击者如果具有SICAM PAS数据库的某些特权就可以重建密码”

攻击者可以利用第二个漏洞访问SICAM PAS数据库文件的敏感配置数据(CVE-2016-5849)。

公告还提到:“如果SICAM PAS数据库处于停止状态,认证的本地攻击可以访问数据库文件的敏感配置信息。”

国外媒体报道之时,西门子正在解决CVE-2016-5849漏洞,并邀请客户联系帮助中心,了解如何缓解问题。

E安全/文 转载请注明E安全

E安全——全球网络安全新传媒

E安全微信公众号: EAQapp

E安全新浪微博:weibo.com/EAQapp

E安全PC站点www.easyaq.com

E安全客服&投稿邮箱:eapp@easyaq.com

更多全球网络安全最新资讯,欢迎使用E安全APP客户端。


点击下方”阅读原文“即可下载安装E安全app

Copyright © 北京电缆价格联盟@2017