首页 > 清静研究 > 清静转达 > 清静通告

Schneider | 多个清静误差通告

宣布时间 2020-05-08

0x00 误差概述

0x01 误差详情

施耐德电气公司是全球能效治理领域的向导者，，，，，为100多个国家的能源及基础设施、工业、数据中心及网络、楼宇和住宅市场提供整体解决计划。。。。。。Schneider Electric Modicon M580等都是该公司的产品。。。。。。

最近，，，，，研究职员又从施耐德电气软件中发明了一个误差（CVE-2020-7489），，，，，它类似于污名昭著的“震网”病毒(Stuxnet)恶意软件曾使用的误差。。。。。。

十多年前，，，，，美国和以色列被指使用“震网”病毒损害伊朗的核妄想，，，，，目的是西门子的 SIMATIC S7-300和S7-400可编程逻辑控制器(PLCs)。。。。。。这款恶意软件通过替换将与西门子 STEP7控制器编程软件相关联的一个DLL文件，，，，，将恶意代码加载到目的PLCs上。。。。。。

2020年3月份，，，，，Airbus网络清静公司报道称从施耐德电气的EcoStruxure ControlExpert工程软件（此前名为 Unity Pro）中发明了一个类似误差 CVE-2020-7475，，，，，它可通过替换与该工程软件相关联的其中一个DLL文件，，，，，将恶意代码上传到Modicon M340 和M580 PLCs中，，，，，从而造成历程破损和其它损害。。。。。。CVE-2020-7475是多款Schneider Electric产品中保存的注入误差。。。。。。攻击者可使用该误差向控制器中发送恶意代码。。。。。。CVSS评分9.8。。。。。。

2020年5月7日，，，，，网络清静公司Trustwave的研究职员体现，，，，，他们也从施耐德软件 EcoStruxure MachineExpert（此前名为SoMachine）中发明了一个类似误差，，，，，该误差为 CVE-2020-7489，，，，，攻击者可使用该误差将恶意代码传输到控制器。。。。。。CVSS评分9.8。。。。。。

0x02 处置惩罚建议

现在厂商已宣布升级补丁以修复误差，，，，，补丁获取链接：

https://www.se.com/ww/en/download/document/SEVD-2020-080-01/

https://www.se.com/ww/en/download/document/SEVD-2020-105-01/

0x03 相关新闻

https://www.securityweek.com/another-stuxnet-style-vulnerability-found-schneider-electric-software

0x04 参考链接

http://www.se.com/ww/en/download/document/SEVD-2020-080-01

https://www.se.com/ww/en/download/document/SEVD-2020-105-01

0x05 时间线

2020-05-08 VSRC宣布误差通告

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

万利国际官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系万利国际官网

清静研究

Schneider | 多个清静误差通告

关于万利国际官网

解决计划

清静研究

联系万利国际官网

7*24小时效劳热线