江森自控和CISA 发布安全公告称，该漏洞的编号是CVE-2023-4804，可“导致越权用户访问不慎遭暴露的调试特性”。受影响产品包括 Frick Quantum HD Unity Compressor、AcuAir、Codenser/Vessel、Evaporator、Engine Room 和 Interface 控制面板。

Frick 制冷产品自称用于食品和饮料行业。CISA 提到，受影响产品用于全球各地，包括重要的制造行业。江森自控为所有受影响控制面板发布更新以修复这个CVSS评分为10分的严重漏洞。

发现该漏洞的研究员表示，它可导致攻击者获得对 Quantum HD 系统的完全管理控制权限。

目前尚不清楚攻击者如何在真实环境中利用该产品，但通常来讲针对制冷系统的网络攻击可用于引发破坏和金融损失。例如，通过更改温度设置，攻击者可减少所储存商品的使用周期或质量。

在 Quantum HD 产品案例中，研究员表示至少有几个位于北美的系统暴露到互联网且可能易受攻击。这名研究员还表示，江森自控花了差不多六个月的时间才推出补丁。

研究员表示，“与江森自控国际公司的合作很愉快。首先，他们拥有真正的负责任披露流程以及一个产品安全团队，而不仅仅是很多ICS/SCADA 厂商声称的那样。团队的响应速度非常快。比预期发布补丁的时间更长的原因是，他们继续深挖后发现影响要比预先认为的更广，他们希望同时修复所有的平台。”

这名研究员还指出该漏洞可能为江森自控带来的损害。研究员指出，“似乎这是一个更深入的‘软件供应链’问题，因为原始厂商 Frick 是由已成为江森自控组成部分的 York 当时收购的。这说明并购过程中的尽职调查存在更大的问题。攻击复杂度较低，而我竟然是第一个报告该问题的，这让我非常惊讶。因此我认为这个漏洞对他们是不可见的，毕竟它位于在两个层级深度的收购噪音中。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~