B&R Automation Studio 4.0 版及更新版中專案上傳機制中的不正確複製演算法和元件驗證,可能允許未經驗證的攻擊者執行程式碼。
如果 PLC 未得到充分保護,攻擊者可能會操縱儲存的專案資訊。 或者,遠端攻擊者可能使用欺騙技術使 B&R Automation Studio 連接到帶有操縱專案檔案的攻擊者控制裝置。 在 B&R Automation Studio 中使用專案上傳時,這類製作的專案將在 Automation Studio 的安全環境中載入和開啟。 這可能導致執行 B&R Automation Studio 之系統的遠端程式碼執行、資訊揭露和拒絕服務。
Team82 致力於以協調、及時的方式私下向受影響的供應商報告漏洞,以確保全球網路安全生態系統的安全。 為與供應商和研究社群互動, Team82 邀請您下載並分享我們的協調披露政策。 Team82 當我們發現產品和服務中的漏洞時,將遵守此報告和披露流程。
