关键漏洞信息 1. 概要 漏洞标题: Delta Electronics DIAEnergie (Update C) 修订日期: August 02, 2022 警报代码: ICSA-22-081-01 CVSS v3 评分: 9.8 2. 漏洞详情 可远程利用: 是 攻击复杂度: 低 厂商: Delta Electronics 受影响设备: DIAEnergie 漏洞类型: - Path Traversal - Incorrect Default Permissions - SQL Injection - Uncontrolled Search Path Element 3. 风险评估 成功利用的后果: 远程代码执行,可能导致用户无意中执行操作。 4. 技术细节 受影响产品: DIAEnergie 所有版本低于1.9 漏洞概述: - 路径遍历 (CVE-2022-25347): 允许攻击者将任意文件写入文件系统中的任意位置。 - 错误的默认权限 (CVE-2022-26839): 可能允许攻击者植入新文件或替换现有可执行文件。 - 多个SQL注入漏洞: 允许攻击者注入任意SQL查询,检索和修改数据库内容,以及执行系统命令。 5. 背景信息 关键基础设施部门: 批发制造 部署的国家/地区: 全球 公司总部位置: 台湾 6. 研究员 报告者: Michael Heinzl 和 Dusan Stevanovic of Trend Micro's Zero Day Initiative 7. 缓解措施 厂商建议: 升级到版本1.9或更高版本 8. 其他建议 尽量减少所有控制系统设备和/或系统的网络暴露,确保它们无法从互联网访问。 将控制系统网络和远程设备置于防火墙之后,并将其与企业网络隔离。 使用可以检测“路径遍历”和“SQL注入”弱点的应用程序防火墙。 从不将编程软件连接到该设备预期网络之外的任何网络。 当需要远程访问时,使用安全方法,如虚拟专用网络(VPN),并注意VPN仅与其连接的设备一样安全。