B&R Automation Studio和Automation Runtime被曝超危漏洞,且无法修复
字数 1422 2025-08-18 11:39:22

B&R Automation Studio和Automation Runtime超危漏洞分析及应对指南

漏洞概述

美国网络安全和基础设施安全局(CISA)发布安全公告,披露奥地利B&R工业自动化公司的Automation Studio(AS)和Automation Runtime(AR)存在一个超危安全漏洞(CVE-2019-19108)。

漏洞基本信息

  • 漏洞编号: CVE-2019-19108
  • CVSS v3评分: 9.4(超危)
  • 漏洞类型: CWE-285 授权不当
  • 发现者: Claroty公司的安全研究人员Yehuda Anikster和Amir Preminger
  • 报送机构: CISA

受影响产品

Automation Studio (AS)

受影响版本:

  • 2.7版本
  • 3.0.71版本
  • 3.0.80版本
  • 3.0.81版本
  • 3.0.90版本
  • 4.0.x版本至4.6.4版本
  • 4.7.2版本

Automation Runtime (AR)

受影响版本:

  • 2.96版本
  • 3.00版本
  • 3.01版本
  • 3.06版本
  • 3.07版本
  • 3.08版本至3.10版本
  • 4.00版本至4.03版本
  • 4.04版本至4.63版本
  • 4.72及之后版本

漏洞技术细节

漏洞根源

该漏洞源于AR中的SNMP服务存在以下安全缺陷:

  1. 硬编码SNMP用户账户:SNMP用户账户采用硬编码的名称,用户无法修改
  2. 无密码保护:没有为该SNMP用户账户分配密码
  3. 明文传输:SNMP数据以明文形式通过网络传输

攻击场景

远程攻击者可利用该漏洞:

  1. 修改受影响的设备的配置
  2. 造成网络通信问题,包括:
    • 受影响的设备丢失与位于其他网络段的系统的连接
    • 受影响的设备与所有其他系统之间的通信中断
    • 因网络连接丢失导致拒绝服务

利用条件

  • 无需身份认证
  • 无需高超的技巧(低技术门槛)

厂商回应

B&R官方声明

  1. 无法修复:由于产品技术原因,无法修改SNMP凭据,也无法提供漏洞补丁
  2. 缓解措施
    • 计划发布新版本(AS 4.6.5、AS 4.7.3、AS 4.8.2)
    • 新版本将在新创建的AS项目中默认禁用SNMP服务

发布时间表

  • AS 4.6.5版本:3月27日
  • AS 4.7.3版本:4月10日
  • AS 4.8.2版本:6月11日

缓解措施建议

  1. 评估SNMP服务必要性

    • 检查系统中是否确实需要SNMP服务
    • 如非必要,立即禁用该服务

  2. 网络隔离

    • 将受影响设备置于隔离网络区域
    • 限制对SNMP端口的访问(UDP 161/162)

  3. 监控措施

    • 监控网络流量中的异常SNMP活动
    • 记录所有SNMP访问尝试

  4. 升级计划

    • 规划升级到B&R即将发布的新版本
    • 新版本创建项目时默认禁用SNMP服务

  5. 替代方案

    • 考虑使用其他监控协议替代SNMP
    • 如必须使用SNMP,确保在网络层面实施严格访问控制

长期解决方案

由于厂商明确表示无法修复此漏洞,建议采取以下长期策略:

  1. 逐步淘汰:规划逐步淘汰受影响的产品版本
  2. 纵深防御:实施多层安全防护措施
  3. 供应商评估:考虑评估其他供应商的替代产品
  4. 安全意识:加强相关人员的安全意识培训

总结

CVE-2019-19108是一个影响B&R工业自动化产品的超危漏洞,由于技术限制无法修复。工业环境用户应立即评估风险,采取缓解措施,特别是禁用SNMP服务或限制其访问。长期来看,应考虑升级到新版本或寻找替代解决方案,以保障工业控制系统的安全性。

B&R Automation Studio和Automation Runtime超危漏洞分析及应对指南 漏洞概述 美国网络安全和基础设施安全局(CISA)发布安全公告,披露奥地利B&R工业自动化公司的Automation Studio(AS)和Automation Runtime(AR)存在一个超危安全漏洞(CVE-2019-19108)。 漏洞基本信息 漏洞编号 : CVE-2019-19108 CVSS v3评分 : 9.4(超危) 漏洞类型 : CWE-285 授权不当 发现者 : Claroty公司的安全研究人员Yehuda Anikster和Amir Preminger 报送机构 : CISA 受影响产品 Automation Studio (AS) 受影响版本: 2.7版本 3.0.71版本 3.0.80版本 3.0.81版本 3.0.90版本 4.0.x版本至4.6.4版本 4.7.2版本 Automation Runtime (AR) 受影响版本: 2.96版本 3.00版本 3.01版本 3.06版本 3.07版本 3.08版本至3.10版本 4.00版本至4.03版本 4.04版本至4.63版本 4.72及之后版本 漏洞技术细节 漏洞根源 该漏洞源于AR中的SNMP服务存在以下安全缺陷: 硬编码SNMP用户账户 :SNMP用户账户采用硬编码的名称,用户无法修改 无密码保护 :没有为该SNMP用户账户分配密码 明文传输 :SNMP数据以明文形式通过网络传输 攻击场景 远程攻击者可利用该漏洞: 修改受影响的设备的配置 造成网络通信问题,包括: 受影响的设备丢失与位于其他网络段的系统的连接 受影响的设备与所有其他系统之间的通信中断 因网络连接丢失导致拒绝服务 利用条件 无需身份认证 无需高超的技巧(低技术门槛) 厂商回应 B&R官方声明 无法修复 :由于产品技术原因,无法修改SNMP凭据,也无法提供漏洞补丁 缓解措施 : 计划发布新版本(AS 4.6.5、AS 4.7.3、AS 4.8.2) 新版本将在新创建的AS项目中默认禁用SNMP服务 发布时间表 AS 4.6.5版本:3月27日 AS 4.7.3版本:4月10日 AS 4.8.2版本:6月11日 缓解措施建议 评估SNMP服务必要性 : 检查系统中是否确实需要SNMP服务 如非必要,立即禁用该服务 网络隔离 : 将受影响设备置于隔离网络区域 限制对SNMP端口的访问(UDP 161/162) 监控措施 : 监控网络流量中的异常SNMP活动 记录所有SNMP访问尝试 升级计划 : 规划升级到B&R即将发布的新版本 新版本创建项目时默认禁用SNMP服务 替代方案 : 考虑使用其他监控协议替代SNMP 如必须使用SNMP,确保在网络层面实施严格访问控制 长期解决方案 由于厂商明确表示无法修复此漏洞,建议采取以下长期策略: 逐步淘汰 :规划逐步淘汰受影响的产品版本 纵深防御 :实施多层安全防护措施 供应商评估 :考虑评估其他供应商的替代产品 安全意识 :加强相关人员的安全意识培训 总结 CVE-2019-19108是一个影响B&R工业自动化产品的超危漏洞,由于技术限制无法修复。工业环境用户应立即评估风险,采取缓解措施,特别是禁用SNMP服务或限制其访问。长期来看,应考虑升级到新版本或寻找替代解决方案,以保障工业控制系统的安全性。