漏洞标题
N/A
漏洞描述信息
在组件RTU500脚本接口中存在一个漏洞。当一个客户端使用TLS连接到服务器时,服务器会提供一个证书。这个证书将公钥与服务的身份链接起来,并由认证机构(CA)签名,使客户端可以验证远程服务是否可以信任,并且没有被恶意利用。如果客户端验证证书的参数,那么攻击者可能会 spoof 服务的身份。攻击者可以通过使用伪造RTU500设备的身份并拦截通过RTU500脚本接口发起的信息来利用这个漏洞。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
漏洞类别
证书验证不恰当
漏洞标题
N/A
漏洞描述信息
A vulnerability exists in the component RTU500 Scripting interface. When a client connects to a server using TLS, the server presents a certificate. This certificate links a public key to the identity of the service and is signed by a Certification Authority (CA), allowing the client to validate that the remote service can be trusted and is not malicious. If the client does not validate the parameters of the certificate, then attackers could be able to spoof the identity of the service. An attacker could exploit the vulnerability by using faking the identity of a RTU500 device and intercepting the messages initiated via the RTU500 Scripting interface.
CVSS信息
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N
漏洞类别
证书验证不恰当
漏洞标题
Hitachi Energy RTU500 信任管理问题漏洞
漏洞描述信息
Hitachi Energy RTU500是日本日立制作所(Hitachi)公司的一系列工控组件。 Hitachi Energy RTU500存在信任管理问题漏洞,该漏洞源于客户端不验证证书的参数,攻击者可以通过伪造身份并拦截通过脚本接口发起的消息。
CVSS信息
N/A
漏洞类别
信任管理问题