آسیب پذیری ها

 جهت مشاهده آخرین آسیب پذیری ها کلیک کنید

دریافت فایل

جهت ورود به قسمت دریافت فایل کلیک کنید

 پیگیری رخداد

 جهت ثبت گزارش رخداد  یا پیگیری گزارش کیک کنید

تحلیل ها

جهت دریافت گزارشات تحلیل کلیک کنید

آسیب پذیری دور زدن احراز هویت بر 22 محصول الکتریکی Schneider تاثیر گذاشت

 

 

آسیب پذیری در Schneider Electric Web HMI اجازه دور زدن احراز هویت را به حمله کننده می دهد. این آسیب پذیری (CVE-2014-0754) در رابط وب انسان و ماشین SchneiderWEB (HMI) وجود دارد، که در محصولاتی پیاده سازی شده است که مورد استفاده بخش های مختلف است،

از جمله ارتباطات، انرژی، صنعت بحرانی، سیستم های آب و فاضلاب مستقر وجود دارد. این آسیب پذیری ماژول های ارتباطات اترنت Modicon PLC ، و در مجموع 22 محصول را تحت تاثیر قرار می دهد.
این آسیب پذیری اجازه می دهد تا یک مهاجم احراز هویت اولیه بر روی سرور وب را دور بزند. با استفاده از دایرکتوری traversals نفوذگر می تواند مکانیزم احراز هویت اولیه در سرور وب را دور بزند و دسترسی غیر مجاز به منابع محافظت شده را به دست بیاورد. شرکت اشنایدر الکتریک اعلام کرده است: این آسیب پذیری نیاز به دسترسی به شبکه از طریق نیاز TCP / IP و به ویژه HTTP برای هدف قرار دادن دستگاه مورد نظر دارد.
با توجه به گفته ICS-CERT، از این آسیب پذیری می توان از راه دور توسط یک مهاجم با سطح مهارت کم بهره برداری کرد.
این شرکت یک به روز رسانی برای سیستم عامل محصولات آسیب دیده خود منتشر کرده است، اما مدعی است که هیچ مدرکی وجود ندارد که آسیب پذیری مورد بهره برداری قرار گرفته است. همچنین سازمان ها می توانند از خود در برابر حملات بالقوه این اشکال با غیرفعال کردن پورت 80 در ماژول (در صورت امکان) اقدام نمایند، همچنین می توان با محدود کردن دسترسی به پورت 80 در فایروال ها، و با استفاده از بازرسی بسته عمیق (DPI) فایروال برای جلوگیری از درخواست HTTP از محصولات آسیب دیده محافظت کرد.
ICS-CERT می گوید این آسیب پذیری توسط بیلی ریوس، یک محقق امنیتی مستقل که اغلب آسیب پذیری در سیستم های ICS و SCADA را کشف کرده است، شناسایی شده است. اشنایدر الکتریک اشاره کرده است که این موضوع در تحقیقات داخلی نیز کشف شده است. ریوس تایید کرده است که به روز رسانی های تولید شده توسط این شرکت به درستی به آسیب پذیری رسیدگی می کنند.


منبع:

http://www.securityweek.com/authentication-bypass-vulnerability-affects-22-schneider-electric-products

نظر خود را اضافه کنید.

ارسال نظر به عنوان مهمان

0
شرایط و قوانین.
  • هیچ نظری یافت نشد