瑞士工业自动化解决方案提供商Carlo gavazzi发布其能源监控产品的固件更新以解决设备中可用于远程攻击的严重漏洞。

Carlo gavazzi为欧洲著名自动化品牌，成立于1931年，在全球范围内提供顶级的自动化产品及技术支持。产品主要涵盖传感器、电子继电器、安全与保护系列、数字式仪表、电力监控与能源分析仪表、Dupline现场总线系统等方面。

安全研究员Karn Ganeshen 发现Carlo gavazzi的产品VMU-C EM、VMU-C PV 运行的固件版本（A11_U05和 A17前的版本）至少存在3个可被利用的严重和高危漏洞。

VMU-C包含设置系统和监控数据的WEB服务器，可用于记录、控制、传输从能量表、功率分析仪和其他VMU模块发出的信号，从而帮助组织进行更加有效的能源管理。

据ICS-CERT（美国工控系统网络应急响应小组）上周发布报告称，VMU-C 存在没有验证的情况下允许访问大部分应用程序功能模块的漏洞（CVE-2017-5144)，另外一个跨站请求伪造漏洞（(CVE-2017-5145）可被用于更改配置参数。此外，Ganeshen还发现该产品以明文存储一些敏感信息（CVE-2017-5146)。

漏洞信息

注意：可远程利用、易于操作
厂商：Carlo Gavazzi
设备：VMU-C EM, VMU-C PV
影响版本:A11_U05之前的VMU-C EM固件版本
         A17之前的VMU-C PV固件版本
漏洞：访问控制权限、跨站请求伪造、明文存储信息
影响：允许攻击者更改配置参数并保存修改的设置。

Ganeshe表示，易受攻击的版本被部署在任何地方的配电设施上，并且设备的管理员界面可以通过本地网络或Internet访问，通过发送请求便可进行远程利用，访问存储在该设备上的能源相关数据。

Carlo Gavazzi不是唯一被发现能源监控产品出现缺陷的供应商， 几个月前， Ganeshe披露了一系列影响施耐德电气和FENIKS PRO功率计的问题。

Carlo Gavazzi强烈建议用户登陆官网将存在问题的固件升级到以下版本：

VMUC EM 升级到VMU-C EM A11_U05；
VMUC PV 升级到VMU-C PV A17

此外对于使用这些产品的用户，我们同时建议：

尽可能使控制系统或系统设备不在联网中暴露，并确保其无法从网络接入。
将业务网络与控制系统网络、远程设备进行隔离。
需要远程访问时，请使用安全可靠的VPN。