"Buka bijan": Rangkaian rangkaian industri boleh digodam dengan nama pengguna yang betul

Minggu ini, dua peringatan keselamatan berasingan telah mendedahkan lubang utama dalam peranti dari Moxa, sebuah syarikat rangkaian automasi perindustrian. Dalam satu kes, penyerang berpotensi menghantar arahan ke sistem pengendalian peranti dengan menggunakannya sebagai nama pengguna dalam percubaan log masuk. Di lain, kunci persendirian untuk pelayan Web yang digunakan untuk menguruskan peranti rangkaian boleh diambil melalui permintaan HTTP GET.

Kerentanan yang pertama, di dalam alat rangkaian wayarles AWK-3131A 802.11n yang boleh berfungsi sebagai titik akses, jambatan, atau peranti klien-didedahkan oleh Cisco Talos pada 3 April. Kerana cara pengesahan pengguna untuk pelbagai fungsi berfungsi- memanfaatkan alat "loginutil" sistem operasi Busybox-nama pengguna dari percubaan masuk gagal diproses sedemikian rupa sehingga mereka dapat memanfaatkan untuk menyuntik arahan baris perintah dengan menggunakan tanda baca untuk memisahkan perintah dari seluruh baris perintah pengeluaran.

"Eksploitasi kelemahan ini telah disahkan melalui Telnet, SSH dan pelabuhan konsol tempatan," kata Patrick DeSantis dan Dave McDaniel dari Cisco Talos dalam laporan mereka. "Disyaki bahawa aplikasi web juga mungkin terdedah kerana ia bergantung kepada loginutils dan pemeriksaan iw_acara_binari pengguna mendedahkan mesej 'gagal' untuk 'WEB,' TELNET, 'dan' SSH. '"

Cisco Talos mendedahkan kelemahan kepada Moxa pada Disember 2017. Kemas kini: Moxa mengeluarkan firmware ditetap pada 3 April.

Kerentanan Moxa kedua, dalam perisian pengurusan rangkaian MXview Moxa, diterbitkan hari ini sebagai penasihat dari Jabatan Keselamatan Dalam Negeri Sistem Kawalan Perindustrian Cyber ​​Emergency Response Team (ICS-CERT). MXview mempunyai pelayan web bersepadu untuk membolehkan akses jarak jauh ke data pengurusan rangkaian. Kerentanan yang ditemui oleh Michael DePlante dari Leahy Center untuk Penyiasatan Digital di Champlain College, membolehkan penyerang untuk melihat kunci persendirian untuk pelayan. Satu lagi kelemahan dalam perisian yang sama, yang diumumkan pada bulan Januari, membolehkan penyerang untuk memanfaatkan "laluan carian tidak disebut" dari pelayar web untuk mendapatkan akses kepada fail atau melaksanakan kod sewenang-wenang pada pelayan.

Biasanya, jenis sistem ini sepatutnya disimpan di segmen dari Internet, dan pengurangan yang disyorkan oleh DHS untuk kedua-dua kelemahan ini adalah "meminimumkan pendedahan rangkaian untuk semua peranti sistem kawalan dan / atau sistem dan memastikan mereka tidak dapat diakses dari Internet, "dan juga mengasingkan sistem kawalan industri dari rangkaian perniagaan. Moxa telah mengeluarkan versi baru MXview yang menimbulkan masalah ini.

Tonton video itu: KDA - POPSTARS ft Madison Beer, GI-DLE, Jaira Burns. Official Music Video - League of Legends (Januari 2020).