近日，美國ICS—CERT官網相繼公布了由匡恩網絡智能安全工業研究院發掘的四個中高危漏洞和漏洞利用驗證。匡恩網絡率先預警了黑客利用這些漏洞實施網絡攻擊的風險，從多層面、多維度為工控安全“上保險”，彰顯了中國工控網絡安全企業的國際影響力。

這四個漏洞分別為：GE Proficy HMI SCADA CIMPLICITY  權限提升漏洞、Advantech WebAccess ActiveX VBWinExec 遠程代碼執行漏洞、Advantech WebAccess ActiveX ChkTable 緩沖區溢出漏洞、Advantech WebAccess 信息泄露漏洞。其中，研華的三個漏洞等級均為高危，GEProficy HMI SCADA CIMPLICITY為中危漏洞。目前，GE已針對Proficy HMI SCADA CIMPLICITY應用程序漏洞發布了新版軟件。

漏洞信息：

此番公布的四個中高危漏洞均是匡恩網絡智能安全工業研究院的烽火安全實驗室挖掘發現，實驗室匯聚了工控領域漏洞挖掘的資深專家，憑借過硬技術實力和項目實施經驗，以及擁有自主知識產權的漏洞挖掘工具，深度介入西門子、bachmann、ABB貝利、艾默生、羅克韋爾等多個廠商工控系統和設備，進行漏洞挖掘、滲透測試，助力工控系統和設備廠商防患于未然。

目前，工控漏洞挖掘涵蓋下位機漏洞挖掘（工控協議，PLC上web用戶接口及其它接口，工控后門等）和上位機漏洞挖掘（工控服務，工控系統驅動，activex控件，文件格式等）。此次美國ICS-CERT官方公示的四個中高危漏洞均為上位機組態軟件漏洞。面對日益升級網絡安全態勢，匡恩網絡的漏洞挖掘將向縱深擴展，覆蓋更多的國內外工控系統和設備。

關于北京匡恩網絡科技有限責任公司

北京匡恩網絡科技有限責任公司（簡稱匡恩網絡），總部位于北京，是一家致力于為智能工業網絡提供安全解決方案的高科技創新企業。匡恩網絡深耕工業智能網絡安全領域，獨創了涵蓋“結構安全性、本體安全性、行為安全性、基因安全性和持續性防護”的“4+1安全防護體系”，開發出目前業界最完善、覆蓋工控系統全流程的保護、檢測等產品系列，為用戶提供“自主、可控、安全”的全生命周期解決方案，服務于石化、電力、冶金、軌道交通、煙草、城市燃氣、智能汽車、數控機床等國家重點行業。了解詳情請點擊www.kuangn.com及關注“匡恩網絡“公眾號。