mySCADA myPRO中存在多个严重漏洞,可导致攻击者接管工控系统

发布于 作者:

mySCADA myPRO中存在多个严重漏洞,可导致攻击者接管工控系统

Ravie Lakshmanan 代码卫士 2025-03-20 17:42

聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

瑞士安全公司 PRODAFT的网络安全研究员详述了影响 mySCADA myPRO 的两个严重漏洞,它们可导致恶意人员控制可疑系统。MySCADA myPRO是用于运行技术 (OT) 环境中的数据采集与监视控制系统 (SCADA) 系统。

研究人员提到,“这些漏洞如遭利用,可导致攻击者越权访问工控网络,从而可能导致严重的运行中断和金融损失后果。”这些漏洞的CVSSv4 评分为9.3,如下:

  • CVE-2025-20014:操作系统命令注入漏洞,可导致攻击者通过包含一个版本参数的特殊构造的POST请求在受影响系统上执行任意命令。

  • CVE-2025-20061:操作系统命令注入漏洞,可导致攻击者通过包含一个邮件参数的特殊构造的POST请求,在受影响系统上执行任意命令。

如其中一个或两个漏洞遭成功利用,可导致攻击者注入系统命令并执行任意代码。这两个漏洞已在如下版本中修复:

  • MySCADA PRO Manager 1.3

  • MySCADA PRO Runtime 9.2.1

PRODAFT公司提到,这两个漏洞均由用户输入未清理造成,因而导致命令注入。该公司提到,“这些漏洞凸显了SCADA系统中的持久性安全风险以及更强大防御措施的需求。利用可导致运行中断、经济损失和安全危险。”

建议组织机构应用最新补丁,通过将SCADA系统从IT网络隔离的方式执行网络分段,执行强有力的认证措施,以及监控可疑活动。

代码卫士试用地址:
https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

工业互联网巨头 GE Digital 修复SCADA 软件中的两个高危漏洞

myPRO HMI/SCADA 产品被曝多个严重漏洞

SCADA 网络首次遭密币挖矿恶意软件感染

研究显示修复SCADA缺陷的平均时间是150天

原文链接

https://thehackernews.com/2025/03/critical-myscada-mypro-flaws-could-let.html

题图:
Pixabay 
License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错,就点个 “
在看
” 或 “

” 吧~