雷鋒網(wǎng)消息，2月27日，工控廠商施耐德發(fā)布安全公告，確認其派爾高 Sarix Pro 網(wǎng)絡攝像頭產(chǎn)品存在 12 個安全漏洞，并提醒客戶盡快升級固件。據(jù)這些漏洞的提交者綠盟科技工控安全研究團隊介紹，這12個漏洞中，4個漏洞被評級為嚴重，7個高危，CVSS最高評分達到了 9.8。

綠盟科技3月2日向雷鋒網(wǎng)披露了這些漏洞的部分情況：

2017年11月，綠盟科技工控安全研究團隊在工業(yè)互聯(lián)網(wǎng)安全性研究過程中，發(fā)現(xiàn)了Pelco Sarix Professional工控網(wǎng)絡攝像頭存在安全性問題且威脅等級較高，隨即將相關情況告知施耐德，并等待廠商發(fā)布補丁，便于客戶做好防護準備。

2018年3月1日，施耐德更新安全性公告，建議客戶盡快更新產(chǎn)品固件到3.29.67，以便修復如下這些漏洞：

CVE-2018-7227，Information Disclosure，CVSS 5.3（中威）

CVE-2018-7228，Authentication Bypass，CVSS 7.5（高危）

CVE-2018-7229，Authentication Bypass，CVSS 7.5（高危）

CVE-2018-7230，XML External Entity Vulnerability，CVSS 7.4（高危）

CVE-2018-7231，Command Execution - ‘system.opkg.remove’，CVSS 9.8（嚴重）

CVE-2018-7232，Command Execution - ‘network.ieee8021x.delete_certs’，CVSS 9.4（嚴重）

CVE-2018-7233，Command Execution - ‘model_name’ or ‘mac_address’，CVSS 9.4（嚴重）

CVE-2018-7234，Arbitrary File Download，CVSS 8.2（高危）

CVE-2018-7235，Command Execution - ‘system.download.sd_file’，CVSS 8.8（高危）

CVE-2018-7236，Authentication Bypass，CVSS 8.1（高危）

CVE-2018-7237，Arbitrary File Delete，CVSS 9.4（嚴重）

CVE-2018-7238，Buffer Overflow，CVSS 8.4（高危）

施耐德在公告中對漏洞發(fā)現(xiàn)者表示了感謝。綠盟科技還向雷鋒網(wǎng)透露，其安全團隊陸續(xù)發(fā)現(xiàn)國內(nèi)外一批工業(yè)攝像頭產(chǎn)品存在安全性問題，日后將公布情況。這意味著，目前還有一些未知的存在安全問題的工業(yè)攝像頭正在使用中。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。