Prosys OPC UA SDK for Java 被选为今年 4 月由 Zero Day Initiative（ZDI）主办的 Pwn2Own Miami 2022 赛事的测试对象之一。安全研究团队应邀参加各种工业控制系统（ICS）产品的安全漏洞发现竞赛。其他数个 OPC UA SDK 也属于 OPC UA 服务器类别下的受测目标。

在这些产品中发现了多个漏洞，其中一个漏洞也存在于我们的 SDK 中：

“Noam Moshe、Vera Mens、Amir Preminger、Uri Katz 和 Sharon Brizinov 组成的 Claroty Research (@claroty) 团队使用资源耗尽漏洞在 Prosys OPC UA SDK for Java 上执行 DoS 拒绝服务攻击””.

ZDI 和 Claroty Research 向我们披露了该漏洞的详细信息，因此我们能够在不公开的情况下修复该问题，而且用户现在可获取修复后的版本，来杜绝类似的攻击。因此，我们建议所有用户尽快相应地更新其产品，并发布其产品的更新版本，以确保本行业在未来免受此类攻击。

我们使用 CVSS Base Score 7.5 和 Vector String 对该漏洞进行了评估 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H.

未经授权的攻击者可以利用此漏洞阻止 OPC UA 服务器应用程序，使其无法再为客户端应用程序提供服务。

该漏洞的标识符为 ZDI-CAN-16441

Prosys OPC UA 的受影响产品

该漏洞直接影响：

• 使用 Prosys OPC UA SDK for Java 4.7.2 及先前版本构建的 OPC UA 服务器程序应用
• Prosys OPC UA Simulation Server 5.2.0 及先前版本
• Prosys OPC UA Modbus Server 1.4.14 及先前版本
• Prosys OPC UA Historian 1.1.6 及先前版本

已修复的产品

该问题已在 Prosys OPC UA SDK for Java 4.8.0、Simulation Server 5.2.2、Modbus Server 1.4.16 和 Historian 1.1.8 中修复，我们鼓励大家更新到这些版本。

Unified Automation 受影响的产品

AnsiC、C++和最初由 Unified Automation 制作的.NET SDK 也在 Pwn2Own 赛事中受测。有关被发现的漏洞的具体信息发布在 Unified Automation 安全过程摘要中。 UaGateway 基于 C++ SDK，也受到影响。