SAE IT系统FW-50远程遥测装置（RTU）

1.执行摘要

• CVSS v3 9.1版
• 注意：可远程利用/低技能水平可利用
• 小贩：SAE IT系统
• 设备：FW-50远程遥测装置（RTU）
• 漏洞：交叉脚本，路径遍历

2.风险评估

成功利用这些漏洞可能会使攻击者执行远程代码、泄露敏感信息或造成拒绝服务情况。

3.技术细节

3.1受影响的产品

模块化远程控制系统FW-50 RTU的以下版本受到影响：

• FW-50 RTU，系列：5系列；CPU类型：CPU-5B；硬件版本：2；CPLD版本：6

3.2易损性概述

3.2.1    网页生成期间输入的不正确中立化（“跨站点脚本”）CWE-79

该软件在作为网页提供给其他用户之前，不会中和或错误地中和用户可控制的输入。

CVE-220-10630已分配给此漏洞。计算出CVSS v3基本得分为8.1；CVSS向量字符串是(AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:H).

3.2.2    路径名对受限目录的不当限制（“路径遍历”）CWE-22

巧尽心思构建的请求可能会让攻击者查看受影响设备的文件结构，并访问不可访问的文件。

CVE-220-10634已分配给此漏洞。已计算出9.1的CVSS v3基本分数；CVSS向量字符串是(AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N).

3.3背景

• 关键基础设施部门：关键制造、能源、运输系统、供水和废水系统
• 部署的国家/地区：全球
• 公司总部地址：德国

3.4研究人员

Biznet Bilisim A.S.的Murat Aydimer向CISA报告了这些漏洞。

4.缓解措施

SAE IT系统为解决方案提供了两种选择。

• 用户可以更换新的CPU卡。查找联系人有关更换CPU卡的信息。获得更换的CPU卡后，用新版本的setIT软件.
• 所有引用的漏洞都与web服务器有关。用户还可以禁用web服务器端口。

SAE IT系统还建议，如果项目web服务器端口未使用，出于安全原因禁用该端口。

有关禁用项目web服务器端口的信息，请联系SAE IT系统热线：

电话：+49 221/59 808-55

电子邮件：service@sae-it.de

CISA建议用户采取防御措施，将利用此漏洞的风险降至最低。具体来说，用户应该：

• 将所有控制系统设备和/或系统的网络暴露降至最低，并确保无法从Internet访问.
• 将控制系统网络和远程设备定位在防火墙后面，并将其与业务网络隔离。
• 当需要远程访问时，请使用安全的方法，如虚拟专用网络（VPN），认识到VPN可能存在漏洞，应更新到可用的最新版本。还要认识到VPN的安全性只有与连接的设备一样。

CISA提醒组织在部署防御措施之前进行适当的影响分析和风险评估。



CISA还提供了一节控制系统安全建议规程在ICS网页上美国中央政府。有几个推荐的实践可供阅读和下载，包括采用纵深防御策略提高工业控制系统的网络安全.

其他缓解指南和推荐做法可在us-cert.gov上的ICS网页在技术信息文件中，ICS-TIP-12-146-01B——目标网络入侵检测和缓解策略.



观察到任何可疑恶意活动的组织应遵循其既定的内部程序，并将其发现报告给CISA，以便对其他事件进行跟踪和关联。

CISA还建议用户采取以下措施保护自己免受社会工程攻击：

• 不要点击网页链接或在电子邮件中打开未经请求的附件。 
• 请参阅识别和避免电子邮件诈骗有关避免电子邮件欺诈的更多信息。 
• 请参阅避免社会工程和网络钓鱼攻击有关社会工程攻击的更多信息。

没有已知的公开漏洞专门针对这些漏洞。

• SAE IT系统