三菱电机 PLC 曝出多个严重安全漏洞

发布时间：2025-12-07 15:19:16 作者：玩站小弟

美国网络安全和基础设施安全局 (CISA) 在上周发布了一份工业控制系统 (ICS) 咨询，对三菱电机 GX Works3 工程软件存在的多个漏洞发出了安全警告。GX Works3是一种用于 ICS 。

美国网络安全和基础设施安全局 (CISA) 在上周发布了一份工业控制系统 (ICS) 咨询，菱电漏洞对三菱电机 GX Works3 工程软件存在的曝出多个漏洞发出了安全警告。

GX Works3是严重一种用于 ICS 环境的工程软件，能够从控制器上传和下载程序、安全排除软硬件故障以及执行相应的菱电漏洞操作维护。模板下载由于功能广泛，曝出使得该软件平台成为攻击者的严重一个强有力的”集火“目标，攻击者希望破坏此类系统以控制受管理的安全 PLC。

在CISA揭露的菱电漏洞10个缺陷中，云计算有 3 个涉及敏感数据的曝出明文存储，4 个涉及使用硬编码加密密钥，严重2 个涉及使用硬编码密码，安全1 个涉及凭证保护不足。菱电漏洞最严重的曝出漏洞CVE-2022-25164和CVE-2022-29830的 CVSS 评分高达 9.1，建站模板可在无需任何权限的严重情况下被滥用，以获取对 CPU 模块的访问权限并获取有关项目文件的信息。

三菱表示，工程软件是工业控制器安全链中的源码库一个关键组成部分，如果其中出现任何漏洞，对手可能会滥用它们最终危及托管设备，从而危及受监管的工业过程。

CISA也提到了一个CVSS 评分为8.6的MELSEC iQ-R 系列中的拒绝服务 (DoS) 漏洞信息，高防服务器并指出由于缺乏适当的输入验证，成功利用此漏洞可能允许未经身份验证的远程攻击者通过发送特制数据包，在目标产品上造成拒绝服务。

缓解措施

三菱已经宣布相关补丁将在不久之后发布，在此之前建议应用以下缓解措施：

尽可能限制不受信任方访问安全 CPU 项目文件；在传输和静止时充分保护安全 CPU 项目文件（例如通过加密）；更改安全 CPU 模块上设置的所有弱密码；切勿重复使用相同的源码下载凭据打开安全 CPU 项目文件和访问安全 CPU 模块。

Tag：

FBI：BlackCat 勒索软件狂“薅” 3 亿美元
Bleeping Computer 网站消息，美国联邦调查局FBI）近期宣称，截至 2023 年 9 月，ALPHV/BlackCat 勒索软件团伙已成功袭击全球 1000 多名受害者，狂“薅”了超过
2025-12-07
三星S6黄页怎么设置设置
1)在桌面点击【联系人】，进入后点击联系人界面的【黄页】。(如下图) 2)屏幕弹出一个;法律信息”的说明，点击【同意全部】，然后选择黄页的类型，这以【售后服务】为例。(如下图)3)比如点
2025-12-07
OPPO R7怎么插SIM卡
1)找到OPPO R7侧边的小孔，插入回形针或者其它硬物，即可弹出卡槽。(如下图) 2)放入SIM卡及内存卡即可。(如下图)3)OPPO R7支持双卡，其中一个需中卡，别外一个要小卡。(
2025-12-07
全新Dell PowerEdge服务器聚焦可持续创新赋能下一代双碳绿色数据中心
2023年2月24日，戴尔科技集团扩展业界畅销的PowerEdge服务器组合，推出13款全新一代Dell PowerEdge 服务器，在大幅提高性能的同时，还充分利用戴尔科技在软件和工程技术方面的进步
2025-12-07
密码管理巨头LastPass遭遇网络攻击，源代码已泄露
据Bleeping Computer报道，密码管理巨头 LastPass 两周前遭到黑客攻击，尽管公司在发现攻击行为后已经拼命进行阻止，但是结果令人感到惋惜，黑客依旧突破了封锁，可窃取该公司的源代码和
2025-12-07
金士顿240GSSD性能评测（高速读写、可靠耐用的存储选择）
随着科技的进步，存储设备的性能和可靠性对于用户来说变得尤为重要。金士顿作为知名存储品牌，推出的240GSSD备受瞩目。本文将通过对其性能进行评测，详细介绍其在高速读写和耐用性方面的表现。1.高速读写：
2025-12-07