آسیب پذیری ها

 جهت مشاهده آخرین آسیب پذیری ها کلیک کنید

دریافت فایل

جهت ورود به قسمت دریافت فایل کلیک کنید

 پیگیری رخداد

 جهت ثبت گزارش رخداد  یا پیگیری گزارش کیک کنید

تحلیل ها

جهت دریافت گزارشات تحلیل کلیک کنید

آسیب پذیری حسگر ترافیک Sensys Network

 

 

نمای کلی

پژوهشگر Cesar Cerrudo از IOActive  آسیب پذیری در حسگر ترافیک Sensys Network،VSN240-FVSN240-T شناسایی کرده است. Sensys Network نسخه های به روز رسانی محصول را برای کاهش این آسیب پذیری تولید کرده است.

 

 

 

محصولات تحت تاثیر قرار

حسگرهای ترافیک Sensys Network ، VSN240-F و VSN240-T،  که با نسخه های نرم افزاری زیر کار می کنند را تحت تاثیر قرار داده است:

$1·        نسخه های پیش از VDS 2.10.1،

$1·        نسخه های پیش از TrafficDOT 2.10.3

تاثیر

عدم وجود یکپارچگی کافی در چک کردن های حسگر ترافیک ممکن است باعث نصب و راه اندازی نرم افزارهای دستکاری شده شود که می تواند به حسگرهای ترافیک آسیب برساند. حسگر ترافیکی که به صورت خراب  ارائه شده است ممکن است باعث شود سیستم ترافیک به طور پیش فرض به شرایط ایمن بروند و چراغ های ترافیک یک تقاطع در فواصل از پیش تعیین شده کار کنند. تنها چراغ های ترافیکی که به حسگرهای به خطر افتاده مرتبط هستند ممکن است تحت تأثیر قرار بگیرند.

ارتباطات غیر رمزنگاری شده بین حسگر ترافیک و نقطه دسترسی می تواند دستکاری شود و برای ایجاد عدم دقت در داده های جمع آوری شده ترافیک، که ممکن است اثر محدودی بر کنترل ترافیک برای یک تقاطع داشته باشند استفاده شود. مجموعه بی دقت از ترافیک داده ها ممکن است تاثیر محدودی بر زمان بندی چراغ ترافیک برای یک تقاطع داشته باشد.

تاثیر بر سازمان های فردی بستگی به عوامل بسیاری دارد که برای هر سازمان منحصر به فرد می باشد. NCCIC / ICS-CERT توصیه می کند که سازمان تاثیر این آسیب پذیری را بر اساس محیط ، معماری، و پیاده سازی محصول عملیاتی خود، ارزیابی کند.

پیش زمینه

Sensys Network یک شرکت مستقر در ایالات متحده است که تجهیزات تشخیص ترافیک بی سیم و سیستم های یکپارچه ترافیک داده را ارائه می دهد.

محصولات آسیب دیده، Sensys Network ، حسگر ترافیک VSN240-F و VSN240-T، حسگرهای تشخیص وسیله نقلیه بی سیم هستند. به گزارش Sensys Network، این محصولات در درجه اول در ایالات متحده و در کشورهای مختلف در سراسر جهان مستقر شده اند.

خصوصیات آسیب پذیری

نمای کلی آسیب پذیری

$1·        دانلود کد بدون چک کردن یکپارچگی

حسگرهای ترافیک اصلاحات نرم افزاری را بدون چک کردن موارد کافی برای یکپارچگی کد جدید می پذیرند که باعث می شود دستگاه ها نسبت به اصلاحات و خسارت ها آسیب پذیر باشند.

CVE-2014-2378 وCVSS V2 با نمره 6.5 به این آسیب پذیری اختصاص یافته است. رشته بردار CVSS عبارت است از (AV:A/AC:H/Au:N/C:C/I:C/A:P)

$1·        عدم رمزگذاری داده های حساس

ترافیک بی سیم رمزگذاری نشده بین یک حسگر ترافیک و یک نقطه دسترسی می تواند قطع شود و برای نفوذ در ترافیک داده باز پخش شود، که می تواند اثر محدودی بر کنترل ترافیک برای یک تقاطع داشته باشد.

CVE-2014-2379 وCVSS V2 با نمره 4.3 به این آسیب پذیری اختصاص یافته است. رشته بردار CVSS عبارت است از (AV:A/AC:H/Au:N/C:P/I:P/A:P)

جزییات آسیب پذیری

بهره برداری

این آسیب پذیری می تواند از شبکه های مجاور مورد بهره برداری قرار گیرد.

وجود بهره برداری

بهره برداری های عمومی که به طور خاص این آسیب پذیری را هدف قرار داده باشد شناخته نشده است.

دشواری

یک مهاجم با مهارت بالا قادر به بهره برداری از این آسیب پذیری است.

کاهش

SensysNetworks نسخه های به روز محصول 2.10.1 VDS و TrafficDOT 2.10.3 را برای  اصلاح آسیب پذیری های شناسایی شده در حسگرهای ترافیک VSN240-F و VSN240-T خود تولید کرده است. SensysNetworks قصد دارد یک به روز رسانی نرم افزار اضافی، VDS 1.8.8، را در ماه سپتامبر 2014، برای نقطه دسترسی های مدل های قدیمی تر انتشار دهد. رابط کاربری دستگاه نسخه به روز شده، TrafficDOT 2.10.3، دانلود نرم افزار رمزگذاری  شده را برای حسگرها و اعتبارسنجی داده های حسگرها را برای دستگاه ها با استفاده از نسخه به روز شده VDS 2.10.1 یا  VDS 1.8.8 ممکن می سازد.

اطلاعات تکمیلی در مورد نرم افزارهای منتشر شده Sensys Networksرا  را می توان در سایت زیر یافت:

http://www.sensysnetworks.com/resources-by-category/#sw

نسخه های به روز رسانی محصول از طریق توزیع کنندگان محلی Sensys Networks  در دسترس می باشند. اطلاعات تماس توزیع کنندگان محلی را می توان در سایت زیر یافت:

http://www.sensysnetworks.com/distributors

 

 

منبع:

https://ics-cert.us-cert.gov/advisories/ICSA-14-247-01

نظر خود را اضافه کنید.

ارسال نظر به عنوان مهمان

0
شرایط و قوانین.
  • هیچ نظری یافت نشد