E安全1月17日讯 瑞士知名工业与建筑自动化解决方案提供商佳乐商贸（Carlo Gavazzi）发布某些能源监控产品的固件升级，以修补可能使设备面临远程网络攻击的严重漏洞。

安全研究人员Karn Ganeshen发现Carlo Gavazzi的VMU-C EM和VMU-C PV产品运行的固件版本（A11_U05和A17之前的版本）至少存在3个“超危”和“高危”。

VMU-C产品旨在记录、监控并传输电能表、功率分析仪和其它VMU模块的信号，以此帮助组织机构管理能源效率。该设备包含Web服务器，可以用来建立系统并监控数据。

美国工控系统网络应急响应小组（ICS-CERT）上周发布的一份报告显示，该产品存在一个漏洞_允许访问应用程序的大多数功能，而不需要验证（CVE-2017-5144）；此外，还存在跨站请求伪造（CSRF）漏洞，可以被利用修改配置参数（CVE-2017-514）。Ganeshen还发现该产品明文储存某些敏感信息（CVE-2017-5146）。

Ganeshen表示，ICS-CERT的这份报告可能会更新，因为它包含一些不准确的信息。具体而言，Ganeshen还没有测试固件升级，其漏洞可以被远程利用。

他表示，得知产品存在漏洞后，Carlo Gavazzi花了5个多月的时间发布VMU-C产品的补丁。他对Carlo Gavazzi的处理方式予以称赞。

Ganeshen计划在他的博客上披露其它细节。他表示，如果可以在局域网或互联网上访问该设备的管理员界面，这些漏洞可以被远程利用。

Ganeshen解释道，“如果存在漏洞的固件版本部署在配电设备的任何地方，并且能在互联网上访问设备，这样一来，就能通过发送请求的方式访问储存在该设备上的相关能源数据库。”

除了Carlo Gavazzi，Ganeshen在几个月前发现一系列漏洞影响施耐德电气（Schneider Electric）和FENIKS PRO的电能表。

关于CARLO GAVAZZI

CARLO GAVAZZI自动化是一家集设计、制造和工业电子设备营销于一体,面向全球工业自动化、楼宇自动化及能源市场的跨国电子集团。CARLO GAVAZZI公司创办于1931年，总部设在欧洲，于1984年在瑞士成功上市，全球共有21家全资销售子公司，并在65个多国家和地区成立销售及服务团队。公司经过长达八十年的成功运作，在其工业领域积累了丰富的经验，并拥有严格的品质管理体制，取得了CE、UL、CSA、DS、ROHS等独立认证，其研发和生产的产品完全符合最新国际标准，生产设施及运作流程不但符合ISO9001：2008质量管理体系认证要求，也达到了 ISO14001: 2004 环境管理体系标准。目前CARLO GAVAZZI在意大利、丹麦、马耳他、立陶宛、中国等地设有研发中心和生产基地，佳乐商贸（中国）有限公司为CARLO GAVAZZI设立在中国境内的全资销售子公司，公司秉承一贯积极认真的态度，为客户提供最前沿、最优、最全的电气产品及解决方案。

Carlo Gavazzi漏洞信息

注意: 远程漏洞利用/低技能水平利用

厂商: Carlo Gavazzi

设备: VMU-C EM、VMU-C PV

漏洞: 访问控制漏洞、CSRF、明文储存敏感信息

受影响的产品

Carlo Gavazzi报告漏洞影响的版本如下：

· A11_U05之前的VMU-C EM固件版本；

· A17之前的VMU-C PV固件版本。

影响

攻击者成功利用这些漏洞可以更改配置参数，并保存修改的配置。

升级

Carlo Gavazzi 建议升级到以下固件版本：

· VMUC EM 升级到VMU-C EM A11_U05；

· VMUC PV 升级到VMU-C PV A17。

相关固件版本可通过VMU-C中嵌入的固件升级功能获取，或从Carlo Gavazzi网站下载。链接如下：

http://www.gavazzi-automation.com/nsc/HQ/EN/energy_efficiency_monitoring

步骤如下：

· 点击“选择产品”（Select the Product）。

· 在“功能”（FUNCTION）一列中选择“Web服务器”（Web-Server）。

· 出现包含VMU-C EM和VMU-C PV的列表；从列表中选择VMU-C模块。

· 点击右侧“下载”（Downloads）中的“软件”（Software）图标，开始下载升级固件包。

E安全建议用户采取防御措施，最大限度降低这些漏洞被利用的风险，用户应该：

· 将所有控制系统设备和/或系统的网络曝光率降到最低，并确保无法通过互联网访问。

· 在防火墙后找到控制系统网络和远程设备，并使其与企业网络隔离。

· 当需要远程访问时，使用安全方法访问，例如VPN，但应认识到VPN可能存在漏洞，应升级到最新版本。此外，还应认识到VPN的安全性与联网设备一样。

E安全注：本文系E安全独家报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com