Центр CERT@VDE опубликовал информационное сообщение о нескольких уязвимостях в семействе устройств Pepperl+Fuchs Comtrol IO-Link Master, подготовленное на основе анализа, выполненного T.Weber из компании SEC Consult. По оценке CERT@VDE, уязвимости имеют уровень опасности от среднего (Medium — 6,6) до высокого (High — 8,8) по шкале CVSS v3.1.

Серия устройств Pepperl+Fuchs Comtrol IO-Link-Master — это семейство коммуникационных шлюзов для подключения устройств EtherNet/IP, Modbus TCP и Profinet IO. Данные шлюзы предназначены для применения в промышленных системах. Среди них имеются защищенные модели, предназначенные для использования в агрессивной среде.

Уязвимости найдены в нескольких устройствах IO-Link Master 4 и IO-Link Master 8 с прошивкой версии 1.5.48 и более ранних. Полный список уязвимых устройств можно найти в информационном сообщении CERT@VDE.

Первые три уязвимости связаны с недостатками веб-интерфейса конфигурирования устройства. Уязвимость CVE-2020-12511 (8,8 баллов по шкале CVSS v3.1) позволяет осуществить атаку, основанную на подделке межсайтовых запросов (cross-site request forgery), чтобы обманным путём заставить жертву изменить настройки продукта. CVE-2020-12512 (7,5 баллов по шкале CVSS v3.1) — уязвимость отраженного межсайтового скриптинга (reflected cross-site scripting) в веб-сервисе, позволяющая злоумышленнику украсть файлы куки у прошедшего аутентификацию пользователя, что позволяет войти в систему или совершать действия в контексте пользователя. Уязвимость находится в конечной точке «/Software» веб-сервиса. Последняя уязвимость из трех — CVE-2020-12513 (7,5 баллов по шкале CVSS v3.1) — связана с отсутствием проверки и экранирования вводимых пользователем данных (user input sanitization), в результате чего данные, вводимые пользователем в веб-интерфейсе, могут выполняться как команды путем вызова метода «exec()» в контексте пользователя root. Все три уязвимости — классика перечня OWASP Top 10. В отношении устройств, используемых в изолированных сетевых средах за демилитаризованной зоной, реальные риски, связанные с выполнением соответствующих атак, будут гораздо ниже чем для устройств, открытых для доступа через интернет. Использование межсетевых экранов и строгая политика в отношении использования устройств, с которых производится конфигурирование, могут послужить достаточными компенсационными мерами для угроз, связанных с этими уязвимостями.

Не до конца ясно, можно ли сказать то же самое об уязвимости CVE-2020-12514 (6,6 баллов по шкале CVSS v3.1). Демон обнаружения («discoveryd») — служба, запускаемая в процессе загрузки системы. Данная служба требуется программе управления сетью «PortVision DX». Демон содержит небезопасную функцию и уязвим для DoS-атак, которые приводят к аварийному завершению работы программы из-за разыменования нулевого указателя (NULL pointer dereference).

В перечень включены также две давно известные уязвимости CVE-2018-20679 и CVE-2018-0732 (обе с рейтингом 7,5 по шкале CVSS v3.1). Первая из них, связанная с чтением за пределами массива данных, — в утилите BusyBox, которая позиционируется авторами как универсальный набор инструментов для встроенных систем Linux (The Swiss Army Knife of Embedded Linux). Вероятнее всего, ее эксплуатация может привести к отказу в обслуживании. Вторая — в пакете OpenSSL, может также использоваться для отказа в обслуживании удаленным нарушителем через передачу излишне длинного простого числа в качестве параметра для алгоритма Диффи-Хеллмана. Как и для первых трех уязвимостей, можно с определенностью утверждать, что эксплуатация уязвимостей в ограниченной среде маловероятна. Однако их достаточно легко исправить, что и следует сделать при помощи выпущенного производителем обновления для устройств.

Для исправления уязвимостей производитель рекомендует установить на уязвимые модули следующие пакеты:

  • Системный загрузчик U-Boot версии 1.36 или более поздней,
  • Образ системы версии 1.52 или более поздней,
  • База приложений версии 1.6.11 или более поздней.

Информационное сообщение также содержит рекомендацию принять следующие стандартные меры по обеспечению безопасности, если устройства доступны из сетей общего пользования:

  • Использование межсетевого экрана для фильтрации трафика из недоверенных сетей. В особенности это касается входящего трафика веб-страницы администрирования.
  • Использование надежных паролей для защиты каждой из трех встроенных в устройство учетных записей, если в сети, к которой подключено устройство, есть недоверенные пользователи и/или приложения.

Информация об уязвимостях опубликована 4 января 2021

Источник: CERT@VDE



Source link

Is your business effected by Cyber Crime?

If a cyber crime or cyber attack happens to you, you need to respond quickly. Cyber crime in its several formats such as online identity theft, financial fraud, stalking, bullying, hacking, e-mail fraud, email spoofing, invoice fraud, email scams, banking scam, CEO fraud. Cyber fraud can lead to major disruption and financial disasters. Contact Digitpol’s hotlines or respond to us online.

Digitpol’s Cyber Crime Investigation Unit provides investigative support to victims of cyber crimes. Digitpol is available 24/7. https://digitpol.com/cybercrime-investigation/

Europe +31558448040
UK +44 20 8089 9944
ASIA +85239733884