Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS sérülékenységek II

Hiba a Loytec routereiben és az XZERES 442SR szélerőművi turbinavezérlő rendszerében

2015. december 09. - icscybersec

A mai napon az ICS-CERT két, ICS rendszereket érintő hibáról szóló bejelentést tett közzé. Az elsőt a Loytec nevű németországi központú cég ipari routereiben találta Maxim Rupp, független biztonsági kutató. A hiba (akár távoli) kihasználásával a routereken hozzáférhető a felhasználók jelszavaiból képzett hash-eket tároló backup fájl. A hiba a LIP-3ECTB 6.0.1-es verzióját, valamint a LINX-100, LVIS-3E100 és LIP-ME201 típusú eszközöket érinti. A hibát kihasználó exploitról eddig még nincs hír, a gyártó pedig a weboldalán már elérhetővé tette a hibát javító friss firmware-t (innen tölthető le), így célszerű a felhasználóknak (természetesen a szükséges tesztek elvégzése után) mielőbb telepíteni a javított verziót.

Az ICS-CERT bejelentése a sérülékenységről itt található: https://ics-cert.us-cert.gov/advisories/ICSA-15-342-02

A másik hibát, egy Cross-Site Request Forgery-t, az XZERES 442SR típusú szélerőművi turbina operációs rendszerének webes interfészében találta Kam Ganeshen független kutató. Az XZERES kis teljesítményű (2,4-10kW) szélerőművi turbinákat gyárt. A hibát kihasználva ki lehet nyerni a felhasználói azonosítót a böngészőből és lehetőség nyílik az alapértelemezett felhasználói azonosító módosítására is. A hibát távolról is ki lehet használni. Ismert exploit egyelőre nem került napvilágra, annak ellenére, hogy nem nehéz működő exploitot írni az ilyen hibákra. Az XZERES elérhetővé tett ügyfelei számára egy manuálisan telepíthető patch-et.

Az ICS-CERT bejelentése a sérülékenységről itt található: https://ics-cert.us-cert.gov/advisories/ICSA-15-342-01

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr398152852

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása