一、漏洞概述

Ethercat Zeek Plugin是开源社区针对网络安全监控工具Zeek（以前称为 Bro）开发的插件，用于分析和记录以太网控制自动化技术（EtherCAT）协议的网络流量。EtherCAT是一种实时工业以太网协议，广泛应用于工业自动化领域。能够对网络数据包进行深度检测、日志记录以及安全事件生成。顺利获得安装 EtherCAT Zeek Plugin，Zeek 能够解析EtherCAT协议的数据包内容，从而帮助用户更好地理解在自动化环境中发生的具体通信行为，监测潜在的安全威胁，如未经授权的设备访问、异常操作指令等。

Ethercat Zeek Plugin 在vd78dda6 之前的版本中存在越界写入、越界读取漏洞。该漏洞源于Ethercat 通信数据包的主要分析功能。成功利用此漏洞后可以顺利获得越界写入、越界读取漏洞造成任意代码执行从而服务器崩溃拒绝服务。

以下是漏洞详情：

二、受影响的产品

以下 GitHub 提交的 ICSNPP - Ethercat 插件（Zeek 的插件）受到影响：

工业控制系统网络协议解析器 （ICSNPP） - Ethercat Zeek 插件：版本 d78dda6 及更早版本

三、严重等级

鸿运国际超弦实验室评级为：高危

四、处置方法

1、官方已发布最新版本并建议用户将Ethercat Zeek 插件升级到v3bca34c版本或更高的版本。

2、加强访问控制，使用鸿运国际工业防火墙、工业网闸等产品进行隔离保护。

3、使用鸿运国际工业卫士阻止不受信任的网络和主机访问并实行白名单防护。

4、使用鸿运国际神探及时发现未知威胁。

五、参考链接

http://www.cisa.gov/news-events/ics-advisories/icsa-24-051-02

鸿运国际超弦实验室将持续跟踪安全情报变化，及时发布相关信息，若有需要，请联系400-6060-270

                                                                             -END-