美国国土安全部下属的网络安全和基础设施安全局（CISA）2月18日发布一则安全公告，提醒用户注意美国Emerson公司的OpenEnterprise SCADA Server中的一个高危漏洞。

Emerson是一家多元化的全球制造商，业务范围涵盖过程管理、工业自动化、网络能源、环境优化技术和商住解决方案等。

Emerson收到了Kaspersky ICS CERT研究人员Roman Lozko报告的该漏洞信息。该漏洞是基于堆的缓冲区溢出，漏洞编号为CVE-2020-6970，CVSS v3基础评分为8.1。

如果利用这个漏洞成功，攻击者就可以在OpenEnterprise SCADA服务器上执行任何代码。CVE-2020-6970影响了OpenEnterprise3.1版本至3.3.3版本，只有安装了Modbus或ROC接口并且接口处于使用中时，OpenEnterpriseServer 2.83版本才受到影响。

Emerson在OpenEnterprise 3.3，ServicePack 4 (3.3.4)中修复了该漏洞，建议用户尽快升级到最新版本。

美国CISA也在公告中建议用户采取下列防御措施将漏洞利用风险降到最低。

Ø 最小化所有控制系统设备和系统的网络暴露，并确保无法从互联网访问这些设备和系统；

Ø 确定位于防火墙之后的控制系统网络和远程设备的位置，并将它们与业务网络隔离；

Ø 当需要远程访问时，使用安全的方法，例如VPN，但要意识到VPN可能含有漏洞，应更新到最新的可用版本，还要意识到只有连接的设备安全，VPN才安全。

CISA同时提醒用户在部署防御措施之前进行适当的影响分析和风险评估。

以上就是Emerson如何修复OpenEnterprise SCADA Server中的高危漏洞的详细内容，更多请关注Work网其它相关文章！