关键漏洞信息 执行摘要 CVSS v3: 9.8 注意: 可远程利用,攻击复杂度低 供应商: Pyramid Solutions, Inc. 设备: EtherNet/IP Adapter Development Kit 漏洞类型: Out-of-bounds Write (CWE-787) 风险评估 成功利用此漏洞可能允许具有EtherNet/IP网络访问权限的攻击者发送特制的数据包,可能导致服务中断。 技术细节 受影响的产品: - EtherNet/IP Adapter Development Kit (EADK): 版本4.4.0及更早 - EtherNet/IP Adapter DLL Kit (EIPA): 版本4.4.0及更早 - EtherNet/IP Scanner Development Kit (EDKS): 版本4.4.0及更早 - EtherNet/IP Scanner DLL Kit (EIPS): 版本4.4.0及更早 漏洞概述: 受影响的产品存在越界写漏洞,允许未经授权的攻击者发送特制的数据包,可能导致服务中断。 CVE编号: CVE-2022-1737 背景 关键基础设施部门: 制造、金融服务 部署国家/地区: 全球 公司总部位置: 美国 研究者 Weidmueller报告了此漏洞给CERT@VDE 缓解措施 建议升级使用受影响版本的EADK、EIPA、EIPS和EDSK产品的任何产品到最新版本。 CISA建议采取防御性措施以最小化此漏洞被利用的风险。 最小化所有控制系统设备和/或系统的网络暴露,并确保它们不直接从互联网访问。 将控制系统网络和远程设备定位在防火墙后面,并将其与业务网络隔离。 当需要远程访问时,使用安全方法,如虚拟专用网络(VPNs),并确保VPN被更新到最新版本。