Top
首页 > 网络和信息安全 > IT看世界 > 正文

西门子电力监控系统存在两大信息泄露安全漏洞

据国外媒体报道,研究人员发现Siemens SICAM PAS中存在两大安全漏洞,其中一个漏洞仍未打补丁。安全专家查看Siemens SICAM PAS(电力自动化系统)解决方案后发现,Siemens SICAM PAS存在两个信息泄露漏洞CVE-2016-5848(CNNVD-201606-674)和CVE-2016-5849(CNNVD-201606-675)。
发布时间:2016-07-06 14:11        来源:        作者:

据国外媒体报道,研究人员发现Siemens SICAM PAS中存在两大安全漏洞,其中一个漏洞仍未打补丁。

安全专家查看Siemens SICAM PAS(电力自动化系统)解决方案后发现,Siemens SICAM PAS存在两个信息泄露漏洞CVE-2016-5848(CNNVD-201606-674)和CVE-2016-5849(CNNVD-201606-675)。

ZXzxZZXZX

什么是SICAM PAS?

Siemens SICAM PAS是一款为变电站设备操作提供的能源自动化解决方案。它是一个开放的系统,为系统特定任务的整合提供用户接口并提供多个自动化选项。Siemens SICAM PAS在Windows系统上运作,特点是具有灵活性、可扩展性且应用简单。

ICS-CERT表示,SiemensSICAM PAS 8.07之前的老版本均存在安全问题。公告指出:“经认证的本地用户利用这些漏洞便可在特定条件下获取敏感信息。其影响取决于每个特定组织机构的众多因素。NCCIC/ICS-CERT建议组织机构根据自身的操作环境、架构和产品实现评估漏洞造成的影响。”

运行SiemensSICAM PAS的软件没有妥善保护用户密码,攻击者可以利用漏洞重建信息CVE-2016-5848(CNNVD-201606-674)。公告还指出,“经认证的本地攻击者如果具有SICAM PAS数据库的某些特权就可以重建密码”

攻击者可以利用第二个漏洞访问SICAM PAS数据库文件的敏感配置数据CVE-2016-5849(CNNVD-201606-675)。公告还提到:“如果SICAM PAS数据库处于停止状态,认证的本地攻击可以访问数据库文件的敏感配置信息。”

国外媒体报道之时,西门子正在解决CVE-2016-5849(CNNVD-201606-675)漏洞,并邀请客户联系帮助中心,了解如何缓解问题。

专题访谈

合作站点
stat