漏洞信息
# N/A
## 漏洞概述
RTU500 Scripting接口组件存在一个漏洞,当客户端通过TLS连接到服务器时,服务器提供的证书若未能被客户端正确验证,攻击者可能伪造RTU500设备的身份,并拦截通过RTU500 Scripting接口发起的消息。
## 影响版本
未提供具体影响版本信息。
## 细节
- **问题描述**:当客户端通过TLS连接到服务器时,服务器将提供一个证书。该证书将公钥与服务的身份链接起来,并由证书颁发机构(CA)签署,允许客户端验证远程服务是否可信且非恶意。
- **证书验证缺乏**:如果客户端未能正确验证证书的参数,攻击者则可能伪造服务的身份。
- **攻击场景**:攻击者可以通过伪造RTU500设备的身份并拦截RTU500 Scripting接口发起的消息来利用该漏洞。
## 影响
- **身份伪造**:攻击者能够伪造RTU500设备的身份,导致不受信任的服务被客户端识别为可信。
- **消息拦截**:攻击者可能拦截通过RTU500 Scripting接口传递的消息,构成对通信安全的威胁。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
漏洞描述信息
A vulnerability exists in the component RTU500 Scripting interface. When a client connects to a server using TLS, the server presents a certificate. This certificate links a public key to the identity of the service and is signed by a Certification Authority (CA), allowing the client to validate that the remote service can be trusted and is not malicious. If the client does not validate the parameters of the certificate, then attackers could be able to spoof the identity of the service. An attacker could exploit the vulnerability by using faking the identity of a RTU500 device and intercepting the messages initiated via the RTU500 Scripting interface.
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
漏洞类别
证书验证不恰当
漏洞标题
Hitachi Energy RTU500 信任管理问题漏洞
漏洞描述信息
Hitachi Energy RTU500是日本日立制作所(Hitachi)公司的一系列工控组件。 Hitachi Energy RTU500存在信任管理问题漏洞,该漏洞源于客户端不验证证书的参数,攻击者可以通过伪造身份并拦截通过脚本接口发起的消息。
CVSS信息
N/A
漏洞类别
信任管理问题