如果客戶沒有使用KEPServerEX OPC UA Server或是OPC UA Client的Driver可以跳過此篇文章。如果客戶使用其他的解決方案時就會察覺到OpenSSL在KEPServerEX 5.18.662版本或是更早期的版本有安全上面的遺漏。

OpenSSL是使用在OPC UA應用程式進行安全通訊的開放式類別庫。KEPServerEX使用OpenSSL與KEPServerEX的OPC UA Server 介面和OPC UA Client Driver進行安全通訊。近日發現OpenSSL會有影響其他商品的漏洞所在。遠端的駭客可以利用這個漏洞導致kEPServerEX癱瘓或是讓該程式沒有回應。

以下的連結文件說明了由於OpenSSL的漏洞導致對所有的OPC UA應用程式產生影響。

• https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1788

• https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-1789

由此得知這些OpenSSL的漏洞是有關於OPenSSL的憑證驗證。如果駭客寄送出一條針對OPC UA Server的憑證攻擊指令。OpenSSL將會進行測試和核准該憑證，因此，這將會存取無效的記憶體或是允許來源不明的憑證通過。所以會導至應用程式崩潰或是拒絕服務請求。

對OPC UA Server開啟越多的存取權限，被攻擊的風險也就越高。例如，如果OPC UA S只允許LAN或是控制器網路，則可見度有限，駭客程式需要穿透網路並利用機械在網路上的漏洞進行攻擊。如果OPC UA Serfver透過WAN進行資料存取，則有更高的風險會被攻擊。任何的電腦經由網路都能利用這個漏洞去存取OPC UA Server的資料。

由於KEPServerEX是只有經由預設設定安裝在本機端的UA端點，所以該應用程式只有在KEPServerEX那台電腦上才能利用這個漏洞發動攻擊。啟用非本機的端點會讓電腦更加容易受到影響，受影響的程度則會依OPC UA Server的網路存取權限所左右。

解決方法:

可以利用Kepware來更新至2015年8月17日所發布的KEPServerEX 5.18.673版本中的OpenSSL 1.0.2d版本來解決這些問題。