施耐德电气就其 Harmony 工业 PC 系列和 Pro-face PS5000 传统工业 PC 系列的系统监控应用程序中的一个关键漏洞发布了安全通报。该漏洞被跟踪为 CVE-2024-8884,CVSS v3.1 得分为 9.8,因此是一个严重威胁,如果不打补丁,可能会暴露敏感信息和潜在的运行故障。该漏洞存在于这些工业 PC 中使用的系统监视器应用程序中,这些工业 PC 以轻薄耐用的设计著称,为工业环境提供灵活的连接。该关键漏洞是由于敏感信息通过不安全的 HTTP 连接暴露给了未经授权的行为者。具体来说,如果攻击者能通过网络与应用程序进行交互,就能获取凭证。这一漏洞使企业面临拒绝服务(DoS)攻击、敏感数据泄漏和潜在完整性问题的重大风险,最终可能导致关键工业环境中的运行故障。CVE-2024-8884 漏洞影响以下产品中所有版本的系统监视器应用程序:Harmony 工业 PC 系列: HMIBMO/HMIBMI/HMIPSO/HMIBMP/HMIBMU/HMIPSP/HMIPEPPro-face PS5000 传统工业 PC 系列这两个产品系列在工业环境中被广泛用于监控和管理生产系统,因此对于依赖施耐德电气解决方案来确保其设施无缝运行的公司来说,这一威胁尤其令人担忧。施耐德电气为受此漏洞影响的客户提供了详细的修复策略。建议的解决方案是卸载系统监控应用程序。施耐德电气还强烈建议客户遵循行业最佳实践,包括在测试和开发环境或离线基础架构中测试卸载过程,以避免对生产造成意外干扰。
