各有关单位：  

2018年2月27日，ICS-CERT发布了Delta Electronics公司的WPLSoft编程软件存在缓存溢出高危漏洞，攻击者可利用该漏洞造成软件崩溃甚至远程执行代码安全问题。现就具体情况通报如下：  

一、情况分析  

WPLSoft是台达集团（Delta Electronics）针对DVP系列可编程控制器在Windows操作系统环境下研发使用的编程软件，其具有便捷直观的操作界面、强大有力的编程功能。WPLSoft软件为各行各业的PLC用户提供了控制功能的利器。使用这款软件，用户可在熟悉的操作系统下完成PLC编程，实现对生产设备的精准控制。攻击者可利用该漏洞造成软件崩溃甚至远程执行代码安全问题，给工业企业正常生产带来安全隐患。  

二、影响范围  

WPLSoft软件的2.45.0之前版本均存在缓存溢出漏洞。  

三、对策建议  

（一）建议相关工业企业密切跟踪漏洞情况，及时排查安全风险。  

（二）按照《工业控制系统信息安全防护指南》要求，开展工业控制系统及工控主机的安全防护工作。一是下载更新补丁，离线验证后再进行系统修复；二是强化系统登录账户及密码，避免弱口令；三是关闭不必要的Web接口和服务端口，确需远程访问的，使用虚拟专用网络（VPN）进行接入；四是通过边界安全防护设备对工控网络与企业网或互联网的边界进行安全防护；五是做好安全配置，定期进行配置审计；六是及时备份相关数据。

目前，测评中心正在对我省受影响情况进行跟踪分析。各单位在应对过程中如有技术问题，可与我中心技术人员联系：  

杨帆 029-88319550-8026  

李俊 029-88319550-8023  

                                                                                           陕西省网络与信息安全测评中心  

                                                                                        （陕西省工业控制系统信息安全中心）  

                                                                                                   2018年3月2日