CERT раскрыла все найденные уязвимости и дала каждой подробную характеристику.
Немецкий поставщик решений для промышленной автоматизации Wago недавно выпустил исправления для нескольких своих программируемых логических контроллеров (ПЛК) для устранения сразу четырех уязвимостей. В том числе тех, которые могли быть использованы хакерами для получения полного контроля над целевым устройством.
Уязвимости были обнаружены Райаном Пикреном, сотрудником Лаборатории киберфизической безопасности Технологического института Джорджии. Ранее этот же исследователь получил значительное вознаграждение от Apple за найденные уязвимости для взлома камер, а также эксплойт, который мог быть использован для взлома учётных записей пользователей.
В ходе анализа программируемых контроллеров Wago исследователь обнаружил несколько уязвимостей в веб-интерфейсе управления, предназначенном для администрирования, ввода в эксплуатацию и обновления устройств.
Немецкая компания Для просмотра ссылки Войди
Двум уязвимостям присвоен критический рейтинг серьезности на основе их оценки Для просмотра ссылки Войди
Кроме того, Пикрен обнаружил две уязвимости средней степени тяжести. Одна из них может быть использована для межсайтовых скриптовых ( Для просмотра ссылки Войди
«Эти ошибки могут быть объединены в цепочку и использованы двумя различными способами. Первый, прямой доступ к сети — злоумышленник уже находится внутри промышленной системы управления и атакует устройство, подключенное к Интернету. Второй, через веб-запросы извне — злоумышленник заманивает кого-либо из промышленной системы управления для просмотра вредоносного веб-сайта, получая доступ таким образом», — сообщил Пикрен.
Исследователь объяснил, что в реальной атаке хакеры могут использовать эти уязвимости для злонамеренного управления исполнительными механизмами, фальсификации измерений датчиков и отключения всех средств контроля безопасности.
- Источник новости
- www.securitylab.ru