富士电机 Tellus Lite V-Simulator 和 V-Server Lite 存在严重漏洞，可能导致远程代码执行

近日，日本富士电机公司的两个产品——Tellus Lite V-Simulator 和 V-Server Lite被发现存在多个严重漏洞，这些漏洞可能导致攻击者以应用程序权限运行任意代码。根据公共漏洞与暴露事件数据库（CVE），这些漏洞的 CVSSv3 评分均为 7.8，被认为是高度危险的安全隐患。

影响产品及版本

Tellus Lite V-Simulator：版本 v4.0.10.0 及之前版本

V-Server Lite：版本 v4.0.10.0 及之前版本

###具体漏洞分析

这两款产品中存在五种不同的安全漏洞，这些漏洞在应用程序处理项目文件时会被触发，攻击者可以通过创建特殊项目文件实施任意代码执行。

漏洞编号	漏洞类型	CVSSv3 评分
CVE-2021-22637	栈缓冲区溢出	7.8
CVE-2021-22639	空指针引用	7.8
CVE-2021-22641	堆缓冲区溢出	7.8
CVE-2021-22653	内存越界写	7.8
CVE-2021-22655	内存越界读取	7.8

攻击场景与潜在风险

这些漏洞主要影响用于远程监控和工业控制的 HMI（人机界面）系统，可能导致以下风险：

远程代码执行：攻击者可以通过上传特殊项目文件，在 HMI 显示屏上执行恶意代码，控制相关工业设备或修改显示数据。

信息篡改：攻击者可以篡改 HMI 系统显示的数据，使监控人员未能察觉设备异常运行。

设备破坏：通过伪造异常信息诱导设备执行错误操作，例如启动额外设备或违反安全协议。

工业控制系统安全性降低：这些漏洞增加了 ICS（工业控制系统）和 SCADA（数据采集与传输系统）网络的攻击性，特别是在未隔离的网络环境中。

修复建议

应用厂商已发布补丁：富士电机已推出针对这些漏洞的修复包，建议用户尽快更新到最新版本 v4.0.10.0。两个相关产品均需要应用此次更新。

提升网络安全不过 аспEdit 亡：工业设备应部署在隔离网络环境中，并实施严格的访问控制措施。

定期更新系统：及时应用补丁更新是预防网络安全威胁的重要措施。

获取补丁

为了下载补丁，请访问富士电机的官方网站：

富士电气补丁下载页面

参考文献

ICS 安全告知（ICSA-21-026-01）：https://us-cert.cisa.gov/ics/advisories/icsa-21-026-01

红帽区网络安全研究报告：https://www.redhatzone.com/ask/article/3045.html

本文旨在提醒相关人员重视这些安全漏洞的严重性，并采取相应措施以保护工业控制系统和相关网络环境。如需进一步了解技术细节或操作指导，请参考相关厂商及安全研究机构发布的技术文档。

上一篇：Modbus PLC攻击分析：Smod渗透框架研究

下一篇：Modbus安全：M340停启和流量分析

发表评论

关于作者

喝酒易醉，品茶养心，人生如梦，品茶悟道，何以解忧？唯有杜康！

-- 愿君每日到此一游！