关键漏洞信息 漏洞名称: GE iFix CVSS v3 评分: 5.3 关注: 可远程利用/低技能级别 厂商: GE 受影响设备: Gigasoft组件的iFix 漏洞类型: 不安全的ActiveX控件标记为脚本安全 (CWE-623) 风险评估 成功的漏洞利用可能导致缓冲区溢出条件。 技术细节 3.1 受影响产品 GE报告称此漏洞影响以下iFix HMI产品: iFix 2.0 - 5.0 iFix 5.1 iFix 5.5 iFix 5.8 Gigasoft组件在8.0版本之前的版本也可能被其他厂商的产品使用。 3.2 漏洞概述 在GE iFix中使用的第三方ActiveX对象提供的Gigasoft中发现了该漏洞的多个实例。只有在产品外独立使用Gigasoft绘图包可能使用户面临报告的漏洞。报告中的方法在iFix产品中不可用,不被视为iFix产品核心功能的核心问题。 CVE-2018-17925 已被分配给这个漏洞。它的CVSS v3基本得分是5.3,CVSS向量字符串是 (AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L)。 3.3 背景 关键基础设施部门: 多个部门 部署国家/地区: 全世界 公司总部位置: 美国 3.4 研究人员 LiMingzheng of 360 aegis安全团队向NCCIC报告了此漏洞。 缓解措施 GE在2017年6月发布了iFix 5.9,通过引入Gigasoft Version 8.0解决此问题。 GE建议用户只从可信来源使用ActiveX。 要获得iFix产品的最新版本,请联系当地的GE数字代表。联系方式可在 https://digital.ge.com/communities/CC_Contact 获取。 NCCIC建议用户采取防御措施,以尽量减少漏洞被利用的风险。 具体来说,用户应: 最小化所有控制系统的网络暴露,确保它们不可从互联网访问。 将控制系统网络和远程设备置于防火墙后面,并与商业网络隔离。 当需要远程访问时,使用安全方法,如虚拟专用网络(VPN),需要认识到VPN可能有漏洞且须更新到最新版本。认识到VPN只与连接的设备一样安全。