漏洞关键信息 1. 漏洞摘要 CVSS v3 评分: 9.8 注意事项: 可远程利用/攻击复杂度低 供应商: KUKA 设备: KR C4 漏洞: 使用硬编码凭证 2. 风险评估 成功利用这些漏洞可能导致敏感信息的未经授权访问和shell访问。 3. 技术细节 3.1 影响产品 KR C4: 8.7 之前的所有版本 KSS: 所有版本 3.2 漏洞概述 3.2.1 使用硬编码凭证 CWE-798 CVE编号: CVE-2021-33016 CVSS v3 基础分数: 9.8 CVSS 向量字符串: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 3.2.2 使用硬编码凭证 CWE-798 CVE编号: CVE-2021-33014 CVSS v3 基础分数: 8.8 CVSS 向量字符串: AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 3.3 背景 关键基础设施领域: 关键制造 部署国家/地区: 全球 公司总部位置: 德国 3.4 研究人员 报告人: Chen Jie 来自 NSFOCUS 4. 缓解措施 KUKA 建议用户在可能情况下为 8.3 及以后的 KSS 版本更改默认密码。8.2 及之前的 KSS 版本不再受支持并且不支持密码更改。 CISA 建议用户采取防御措施以最小化这些漏洞被利用的风险。 具体建议包括: - 最小化控制系统的网络暴露,确保它们不能直接从互联网访问。 - 将控制系统的网络和远程设备置于防火墙后,并与业务网络隔离。 - 当需要远程访问时,使用安全方法,如虚拟私有网络 (VPN),并将其更新到最新版本。 5. 其他信息 未知公共漏洞利用专门针对这些漏洞。 有关更多缓解指南,请参阅 CISA 提供的相关实践和策略。