在最新的網(wǎng)絡(luò)安全研究中，安全研究人員披露了影響施耐德電氣 Electric Modicon 可編程邏輯控制器 PLC 的2個(gè)新安全漏洞，這些漏洞可以繞過(guò)身份驗(yàn)證和遠(yuǎn)程執(zhí)行代碼。

根據(jù)中國(guó)網(wǎng)絡(luò)安全行業(yè)門戶極牛網(wǎng)(GeekNB.com)的梳理，這些安全漏洞被標(biāo)記為 CVE-2022-45788（CVSS 評(píng)分：7.5）和 CVE-2022-45789（CVSS 評(píng)分：8.1），成功利用這些漏洞可能使對(duì)手能夠執(zhí)行未經(jīng)授權(quán)的代碼、拒絕服務(wù)或泄露敏感信息。

安全研究人員表示，具有其他供應(yīng)商已知漏洞（例如 CVE-2021-31886）的攻擊者可以將這些漏洞鏈接起來(lái)，以實(shí)現(xiàn)對(duì)運(yùn)營(yíng)技術(shù) (OT) 網(wǎng)絡(luò)的深度橫向移動(dòng)。

極牛攻防實(shí)驗(yàn)室表示，深度橫向移動(dòng)讓攻擊者能夠深入訪問(wèn)工業(yè)控制系統(tǒng)并跨越經(jīng)常被忽視的安全邊界，從而使他們能夠執(zhí)行高度精細(xì)和隱秘的操作，并超越功能和安全限制。

施耐德電氣公司設(shè)計(jì)的高度復(fù)雜的概念驗(yàn)證 (PoC) 網(wǎng)絡(luò)物理攻擊發(fā)現(xiàn)，可以將這些漏洞武器化以繞過(guò)安全防護(hù)，并對(duì)可移動(dòng)的橋梁基礎(chǔ)設(shè)施造成損害。

隨著攻擊者炮制復(fù)雜的惡意軟件來(lái)破壞工業(yè)控制系統(tǒng)，這些漏洞提供的深度橫向移動(dòng)可能允許對(duì)手使用邊緣設(shè)備作為跳板，從而接近更敏感的核心設(shè)備。