近日，美国ICS—CERT官网相继公布了由匡恩网络智能安全工业研究院发掘的四个中高危漏洞和漏洞利用验证。匡恩网络率先预警了黑客利用这些漏洞实施网络攻击的风险，从多层面、多维度为工控安全“上保险”，彰显了中国工控网络安全企业的国际影响力。

这四个漏洞分别为：GE Proficy HMI SCADA CIMPLICITY  权限提升漏洞、Advantech WebAccess ActiveX VBWinExec 远程代码执行漏洞、Advantech WebAccess ActiveX ChkTable 缓冲区溢出漏洞、Advantech WebAccess 信息泄露漏洞。其中，研华的三个漏洞等级均为高危，GEProficy HMI SCADA CIMPLICITY为中危漏洞。目前，GE已针对Proficy HMI SCADA CIMPLICITY应用程序漏洞发布了新版软件。

漏洞信息：

此番公布的四个中高危漏洞均是匡恩网络智能安全工业研究院的烽火安全实验室挖掘发现，实验室汇聚了工控领域漏洞挖掘的资深专家，凭借过硬技术实力和项目实施经验，以及拥有自主知识产权的漏洞挖掘工具，深度介入西门子、bachmann、ABB贝利、艾默生、罗克韦尔等多个厂商工控系统和设备，进行漏洞挖掘、渗透测试，助力工控系统和设备厂商防患于未然。

目前，工控漏洞挖掘涵盖下位机漏洞挖掘（工控协议，PLC上web用户接口及其它接口，工控后门等）和上位机漏洞挖掘（工控服务，工控系统驱动，activex控件，文件格式等）。此次美国ICS-CERT官方公示的四个中高危漏洞均为上位机组态软件漏洞。面对日益升级网络安全态势，匡恩网络的漏洞挖掘将向纵深扩展，覆盖更多的国内外工控系统和设备。

关于北京匡恩网络科技有限责任公司

北京匡恩网络科技有限责任公司（简称匡恩网络），总部位于北京，是一家致力于为智能工业网络提供安全解决方案的高科技创新企业。匡恩网络深耕工业智能网络安全领域，独创了涵盖“结构安全性、本体安全性、行为安全性、基因安全性和持续性防护”的“4+1安全防护体系”，开发出目前业界最完善、覆盖工控系统全流程的保护、检测等产品系列，为用户提供“自主、可控、安全”的全生命周期解决方案，服务于石化、电力、冶金、轨道交通、烟草、城市燃气、智能汽车、数控机床等国家重点行业。了解详情请点击www.kuangn.com及关注“匡恩网络“公众号。