罗克韦尔自动化RSLinx Classic EDS漏洞（更新A）| CISA

概述 罗克韦尔自动化RSLinx Classic EDS硬件安装工具（RSHWare.exe）中存在一个缓冲区溢出漏洞。该漏洞很可能被利用，但需要大量的用户交互。

受影响的产品 EDS硬件安装工具1.0.5.1及更早版本。

影响 根据ICS-CERT的计算，此漏洞的CVSS影响子分数为高（10分），因为成功利用该漏洞将允许攻击者在目标机器上运行任意代码。然而，可利用性子分数较低（3.2分），原因是利用此漏洞的难度较大。 对单个组织的影响取决于许多特定于该组织的因素。ICS-CERT建议各组织根据其环境、架构和产品实施情况来评估此漏洞的影响。

背景 罗克韦尔自动化在全球广泛的行业中提供工业自动化控制和信息产品。RSLinx为罗克韦尔软件应用程序提供到车间设备的连接。要在网络上注册设备，必须通过电子数据表（EDS）文件提供产品特定信息。RSLinx硬件安装工具会解析包含硬件规格的EDS文件。

漏洞特征描述 漏洞概述 2010年2月9日，一名安全研究人员发布了一篇博客文章，提到了一个EDS文件安装工具（后来确认为罗克韦尔自动化EDS硬件安装工具，即RSHWare.exe）中的缓冲区溢出漏洞。ICS-CERT已验证该漏洞存在于RSLinx Classic 2.41.00版本（RSHWare.exe 1.0.4.0版本）中。

漏洞详情 通用漏洞评分系统（CVSS）评分

• 总体CVSS分数：6.2
• CVSS基础分数：6.9
  • 影响子分数：10
  • 可利用性子分数：3.4
• CVSS时序分数：6.2
• CVSS环境分数：由组织定义
• 简写CVSS评分符号：AV:L/AC:M/Au:N/C:C/I:C/A:C/E:POC/RL:U/RC:C

可利用性 此漏洞很可能被利用，但如果没有用户交互则无法实现。攻击者无法从远程计算机发起利用。仅当本地用户运行易受攻击的应用程序并加载格式错误的EDS文件时，才会触发该漏洞。

漏洞利用现状 目前没有已知的专门针对此漏洞的利用程序。

利用难度 为此漏洞制作一个有效的利用程序很困难。需要进行社会工程学攻击来说服用户接受格式错误的EDS文件。加载格式错误的文件还需要额外的用户交互。这降低了成功利用的可能性。

缓解措施 罗克韦尔自动化建议客户采取以下步骤来降低与此漏洞相关的风险：

• 限制对计算机的物理访问。
• 制定策略和程序，确保只有授权人员才拥有计算机的管理权限。
• 从可信来源（例如产品供应商）获取产品EDS文件。

罗克韦尔自动化将修改EDS硬件安装工具以正确处理EDS文件，并将于2010年5月之前发布修改后的版本作为补丁。此修改版本将包含在所有未来从2.57版本开始的RSLinx Classic版本中。

*** 开始更新A *** 罗克韦尔自动化已针对EDS硬件安装工具发布了软件补丁，以解决此缓冲区溢出漏洞。应用后，该补丁将RSEds.dll文件替换为修改后的4.0.1.157版本。从2.57版本开始，未来发布的RSLinx Classic都将包含此修改后的RSEds.dll版本。 罗克韦尔还更新了技术说明67272，其中包含了如何获取和应用该补丁的说明。 *** 结束更新A ***

此外，ICS-CERT建议用户采取以下措施来保护自己免受社会工程学攻击：

• 不要点击电子邮件中的网页链接或打开未经请求的附件。
• 请参阅《识别和避免电子邮件诈骗》以获取更多关于避免电子邮件诈骗的信息。
• 请参阅《避免社会工程学和网络钓鱼攻击》以获取更多关于社会工程学攻击的信息。

控制系统安全计划还在US-CERT网站上提供了针对控制系统的推荐实践部分。有多个推荐实践可供阅读或下载，包括《使用纵深防御策略改进工业控制系统网络安全》。