西門子修補了影響其工業產品的兩個關鍵漏洞。一個與最近披露的主動管理技術（AMT, 英特爾處理器的功能）的漏洞有關，可能會讓攻擊者獲得系統權限。另一個漏洞可能讓攻擊者上傳并執行任意代碼。

　　上述兩個問題每個問題都獲得了9.8的CVSS v3評級，這表明漏洞本質上是至關重要的。

　　第一個漏洞源于幾個英特爾芯片組-英特爾酷睿i5，英特爾酷睿i7和英特爾XEON -西門子產品。通常在化學，能源和水/廢水處理設施中使用的設備，例如公司的SIMATIC工業PCS，SINUMERIK面板控制單元和SIMOTION P320 PC也使用這些芯片。西門子星期四警告說，啟用了AMT功能的芯片可以打開產品，直到遠程執行代碼。

　　根據西門子的安全建議，攻擊者可以利用該漏洞獲得系統權限，以配置英特爾可管理性SKU，如“英特爾主動管理技術（AMT），英特爾標準可管理性（ISM）和英特爾小型企業技術（SBT）”。

　　ICS-CERT和西門子的警告近兩個月后，Embeddedi的研究人員首次披露了AMT漏洞（CVE-2017-5689）。這家位于加利福尼亞州伯克利的公司當時表示，很可能易受攻擊者繞過驗證的漏洞是程序員的錯誤。東南亞攻擊者Platinum成為第一個在本月早些時候濫用該功能的APT組織。微軟表示，攻擊者正在使用文件傳輸工具來利用AMT并在目標機器上運行惡意代碼。

　　西門子公司本周早些時候推出了大部分SIMATIC IPC的更新，但表示仍在努力為受影響的SINUMERIK PCU開發修復。受影響的產品和補丁的完整列表可以在公司的支持門戶找到。

　　第二個漏洞影響公司的ViewPort for Web Office Portal。在修訂號1453之前的版本中，西門子公司表示，攻擊者可以將特制的網絡數據包發送到端口443 / TCP或端口80 / TCP。通過這樣做，攻擊者可能有上傳和執行任意代碼的潛力。如果成功執行，代碼將具有操作系統用戶的權限。Web Office Portal允許用戶從控制中心檢索數據。門戶網站常見于能源公司設置。

　　ICS-CERT還警告說施耐德電氣公司的U.motion Builder本周同樣重要但未加工的漏洞。該產品是一個基于Web服務器的自動化網絡系統，通常位于商業，關鍵制造和能源設施中。ICS-CERT警告，一些問題，包括SQL注入漏洞，路徑遍歷漏洞，拒絕服務和不正確的訪問控制漏洞，瘟疫版本1.2.1及更早版本。

　　最緊迫的問題，SQL注入，可能讓攻擊者對底層數據庫執行任意SQL語句。該軟件還具有用于其系統Web訪問帳戶的硬編碼密碼，并包含硬編碼的有效會話，這可能允許攻擊者繞過身份驗證。

　　施耐德電氣周二警告這些漏洞，但表示不會在8月底之前發布固件更新來解決這些漏洞?！叭绻捎?，強烈建議U.motion Builder用戶及時應用補丁，”發布到公司網站的安全通知（.PDF）讀取。同時，該公司正在敦促用戶盡量減少網絡曝光，隔離防火墻后面的網絡，并且只能通過VPN遠程訪問系統?！　?/p> 1024你懂的国产日韩欧美_亚洲欧美色一区二区三区_久久五月丁香合缴情网_99爱之精品网站

責任編輯：韓希宇