西门子修补了影响其工业产品的两个关键漏洞。一个与最近披露的主动管理技术（AMT, 英特尔处理器的功能）的漏洞有关，可能会让攻击者获得系统权限。另一个漏洞可能让攻击者上传并执行任意代码。

　　上述两个问题每个问题都获得了9.8的CVSS v3评级，这表明漏洞本质上是至关重要的。

　　第一个漏洞源于几个英特尔芯片组-英特尔酷睿i5，英特尔酷睿i7和英特尔XEON -西门子产品。通常在化学，能源和水/废水处理设施中使用的设备，例如公司的SIMATIC工业PCS，SINUMERIK面板控制单元和SIMOTION P320 PC也使用这些芯片。西门子星期四警告说，启用了AMT功能的芯片可以打开产品，直到远程执行代码。

　　根据西门子的安全建议，攻击者可以利用该漏洞获得系统权限，以配置英特尔可管理性SKU，如“英特尔主动管理技术（AMT），英特尔标准可管理性（ISM）和英特尔小型企业技术（SBT）”。

　　ICS-CERT和西门子的警告近两个月后，Embeddedi的研究人员首次披露了AMT漏洞（CVE-2017-5689）。这家位于加利福尼亚州伯克利的公司当时表示，很可能易受攻击者绕过验证的漏洞是程序员的错误。东南亚攻击者Platinum成为第一个在本月早些时候滥用该功能的APT组织。微软表示，攻击者正在使用文件传输工具来利用AMT并在目标机器上运行恶意代码。

　　西门子公司本周早些时候推出了大部分SIMATIC IPC的更新，但表示仍在努力为受影响的SINUMERIK PCU开发修复。受影响的产品和补丁的完整列表可以在公司的支持门户找到。

　　第二个漏洞影响公司的ViewPort for Web Office Portal。在修订号1453之前的版本中，西门子公司表示，攻击者可以将特制的网络数据包发送到端口443 / TCP或端口80 / TCP。通过这样做，攻击者可能有上传和执行任意代码的潜力。如果成功执行，代码将具有操作系统用户的权限。Web Office Portal允许用户从控制中心检索数据。门户网站常见于能源公司设置。

　　ICS-CERT还警告说施耐德电气公司的U.motion Builder本周同样重要但未加工的漏洞。该产品是一个基于Web服务器的自动化网络系统，通常位于商业，关键制造和能源设施中。ICS-CERT警告，一些问题，包括SQL注入漏洞，路径遍历漏洞，拒绝服务和不正确的访问控制漏洞，瘟疫版本1.2.1及更早版本。

　　最紧迫的问题，SQL注入，可能让攻击者对底层数据库执行任意SQL语句。该软件还具有用于其系统Web访问帐户的硬编码密码，并包含硬编码的有效会话，这可能允许攻击者绕过身份验证。

　　施耐德电气周二警告这些漏洞，但表示不会在8月底之前发布固件更新来解决这些漏洞。“如果可用，强烈建议U.motion Builder用户及时应用补丁，”发布到公司网站的安全通知（.PDF）读取。同时，该公司正在敦促用户尽量减少网络曝光，隔离防火墙后面的网络，并且只能通过VPN远程访问系统。　　

责任编辑：韩希宇