2024年03月04日以來,國家信息安全漏洞共享平臺(CNVD)向我司通報了4個漏洞,具體的漏洞信息如下:
①CNVD-C-2024-105507 北京亞控科技發展有限公司存在未授權訪問漏洞
②CNVD-C-2024-128480 亞控巨型SCADA監控平臺存在命令執行漏洞
③CNVD-C-2024-128480 亞控巨型SCADA監控平臺存在信息泄露漏洞
④CNVD-C-2024-201929 亞控KingSuperSCADA存在未授權訪問漏洞
漏洞描述:
北京亞控科技發展有限公司簡稱“亞控科技”,是一家成立于1997年的工業自動化和信息化軟件平臺高科技企業。
① 北京亞控科技發展有限公司KingSuperSCADA運行系統客戶端存在SQL注入漏洞,攻擊者可利用該漏洞獲取數據庫敏感信息。
② 北京亞控科技發展有限公司KingSuperSCADA運行系統客戶端存在命令執行漏洞,攻擊者可利用該漏洞執行系統命令。
③ 北京亞控科技發展有限公司KingSuperSCADA運行系統客戶端存在信息泄露漏洞,攻擊者可利用該漏洞獲取敏感信息。
④亞控巨型SCADA監控平臺是一款適用于“全信創”工業控制系統的高端工業自動化全組態監控軟件,支持所有主流信創CPU、操作系統、PLC設備、數據庫聯合使用。 北京亞控科技發展有限公司亞控巨型SCADA監控平臺存在未授權訪問漏洞,攻擊者可利用漏洞獲取敏感信息。
針對上述漏洞,我司及時采取措施,對KingSuperSCADA版本進行漏洞驗證與修復,安全補丁文件詳情如下:
| 序號 | 漏洞名稱 | 發現時間 | 補丁發布時間 | 補丁文件 | 影響產品 | 修復方法 |
| 1 | 北京亞控科技發展有限公司存在未授權訪問漏洞 | 2024.03.04 | 2024.05.13 | KingSuperSCADA | 替換補丁文件即可(安裝后的文件路徑下找到對應文件進行替換) | |
| 2 | 亞控巨型SCADA監控平臺存在命令執行漏洞 | 2024.04.02 | 2024.05.13 | KingSuperSCADA | 替換補丁文件即可(安裝后的文件路徑下找到對應文件進行替換) | |
| 3 | 亞控巨型SCADA監控平臺存在信息泄露漏洞 | 2024.04.02 | 2024.05.13 | KingSuperSCADA | 替換補丁文件即可(安裝后的文件路徑下找到對應文件進行替換) | |
| 4 | 亞控KingSuperSCADA存在未授權訪問漏洞 | 2024.04.08 | 2024.05.13 | KingSuperSCADA | 替換補丁文件即可(安裝后的文件路徑下找到對應文件進行替換) |
為有效應對以上漏洞帶來的安全威脅,建議還在使用KingSuperSCADA 的用戶及時下載對應補丁文件進行修復。
北京亞控科技發展有限公司
2024年5月13日
