发布日期：2020-03-20
更新日期：2020-03-25

受影响系统：

Schneider Electric Interactive Graphical Scada System <= 14

描述：

---

CVE(CAN) ID: CVE-2020-7479

Schneider Electric IGSS是一套用于监控和控制工业过程的交互式图形SCADA系统。

使用IGSSupdate服务的Schneider Electric IGSS 14及之前版本，在实现中存在关键功能访问控制漏洞。在发送本地网络命令到IGSS更新服务时，本地用户可利用此漏洞提升权限，执行进程。

<*来源：Trend Micro’s Zero Day Initiative (ZDI)
  
  链接：https://www.us-cert.gov/ics/advisories/icsa-20-084-02
*>

建议：

---

厂商补丁：

Schneider Electric
------------------
Schneider Electric已经提供了IGSS14 14.0.0.20009版本修复了这些漏洞，建议用户更新到最新版本：
http://igss.schneider-electric.com/igss/igssupdates/v140/IGSSUPDATE.zip

也可通过下列临时措施降低风险：
*无需使用此服务安装更新，禁用IGSS Update服务。
*基础设施不连网，对可疑人员及资源禁止Windows登录及网络访问。
更多信息，请参考https://www.se.com/ww/en/download/document/SEVD-2020-070-01/

浏览次数：1275
严重程度：0（网友投票）