CX-Programmer是欧姆龙 CX-One 自动化软件套件的组成部分,旨在编程和调试欧姆龙可编程逻辑控制器 (PLCs)。美国网络安全和基础设施安全局 (CISA) 指出,该产品用于全球各地,包括一些关键制造行业。
这些CX-Programmer 漏洞影响版本 9.76 及更早版本。这些缺陷是由安全研究员 Michael Heinzl 发现的,并通过JPCERT/CC在2021年5月和6月告知欧姆龙公司。
研究人员指出,这些漏洞是由缺少数据验证造成的,如遭成功利用可导致信息泄露或任意代码执行后果。然而,利用这些漏洞要求用户交互,如诱骗目标用户打开特殊构造的CXP文件。Heinzl 已为每个漏洞发布公告。这些漏洞均已收到CVE编号。
JPCERT/CC 指出,这些漏洞已在CX-Programmer 9.77 中修复,已在2022年1月发布。JPCERT/CC 指出,CX-One 套件是自动更新特征,多数用户无需采取任何措施应用这些补丁。然而,建议用户确保自动更新运行正常并在发生问题时及时联系厂商。
CISA 尚未发布相关漏洞安全公告,但CISA确实一般会通知位于美国的组织机构关于欧姆龙产品中的安全漏洞情况。
Heinzl 此前曾发现富士电机公司 Tellus 工厂监控和运营产品、Delta 电子公司 DIAEnergie 工业能源管理系统和捷克共和国工业自动化公司 mySCADA 的myPRO HMI/SCADA 产品中的多个漏洞。