近日，美國ICS—CERT官(guan)網(wang)相(xiang)繼(ji)公(gong)布(bu)了(le)由(you)匡(kuang)恩(en)網(wang)絡(luo)智(zhi)能(neng)安(an)全(quan)工(gong)業(ye)研(yan)究(jiu)院(yuan)發(fa)掘(jue)的(de)四(si)個(ge)中(zhong)高(gao)危(wei)漏(lou)洞(dong)和(he)漏(lou)洞(dong)利(li)用(yong)驗(yan)證(zheng)。匡(kuang)恩(en)網(wang)絡(luo)率(lv)先(xian)預(yu)警(jing)了(le)黑(hei)客(ke)利(li)用(yong)這(zhe)些(xie)漏(lou)洞(dong)實(shi)施(shi)網(wang)絡(luo)攻(gong)擊(ji)的(de)風(feng)險(xian)
，從多層麵、多維度為工控安全“上保險”，彰顯了中國工控網絡安全企業的國際影響力。

這四個漏洞分別為：GE Proficy HMI SCADA CIMPLICITY  權限提升漏洞
、Advantech WebAccess ActiveX VBWinExec 遠程代碼執行漏洞
、Advantech WebAccess ActiveX ChkTable 緩衝區溢出漏洞、Advantech WebAccess 信息泄露漏洞。其中，研華的三個漏洞等級均為高危，GEProficy HMI SCADA CIMPLICITY為中危漏洞。目前
，GE已針對Proficy HMI SCADA CIMPLICITY應用程序漏洞發布了新版軟件。

漏洞信息：

此ci番fan公gong布bu的de四si個ge中zhong高gao危wei漏lou洞dong均jun是shi匡kuang恩en網wang絡luo智zhi能neng安an全quan工gong業ye研yan究jiu院yuan的de烽feng火huo安an全quan實shi驗yan室shi挖wa掘jue發fa現xian，實shi驗yan室shi彙hui聚ju了le工gong控kong領ling域yu漏lou洞dong挖wa掘jue的de資zi深shen專zhuan家jia，憑ping借jie過guo硬ying技ji術shu實shi力li和he項xiang目mu實shi施shi經jing驗yan，以yi及ji擁yong有you自zi主zhu知zhi識shi產chan權quan的de漏lou洞dong挖wa掘jue工gong具ju
，深shen度du介jie入ru西xi門men子zi
、bachmann、ABB貝利
、艾默生、羅克韋爾等多個廠商工控係統和設備，進行漏洞挖掘、滲透測試，助力工控係統和設備廠商防患於未然。

目前，工控漏洞挖掘涵蓋下位機漏洞挖掘（工控協議，PLC上web用戶接口及其它接口
，工控後門等）和上位機漏洞挖掘（工控服務，工控係統驅動，activex控件，文件格式等）。此次美國ICS-CERTguanfanggongshidesigezhonggaoweiloudongjunweishangweijizutairuanjianloudong。mianduiriyishengjiwangluoanquantaishi
，kuangenwangluodeloudongwajuejiangxiangzongshenkuozhan，fugaigengduodeguoneiwaigongkongxitongheshebei。

關於北京匡恩網絡科技有限責任公司

北京匡恩網絡科技有限責任公司（簡稱匡恩網絡），zongbuweiyubeijing
，shiyijiazhiliyuweizhinenggongyewangluotigonganquanjiejuefangandegaokejichuangxinqiye。kuangenwangluoshengenggongyezhinengwangluoanquanlingyu，duchuanglehangai“結構安全性
、本體安全性、行為安全性、基因安全性和持續性防護”的“4+1安全防護體係”
，開發出目前業界最完善、覆蓋工控係統全流程的保護、檢測等產品係列，為用戶提供“自主、可控
、安全”的全生命周期解決方案，服務於石化
、電力
、冶金、軌道交通、煙草、城市燃氣
、智能汽車
、數控機床等國家重點行業。了解詳情請點擊www.kuangn.com及關注“匡恩網絡“公眾號。