Уязвимости в продуктах Pepperl+Fuchs позволяют внедрять бэкдоры


Alexander Antipov

Проблемы включают подделку межсайтовых запросов, межсайтовый скриптинг, слепое внедрение команд и DoS-уязвимость.

image

Исследователь безопасности из австрийской компании SEC Consult обнаружил ряд уязвимостей в промышленных шлюзах Pepperl+Fuchs Comtrol IO-Link Master. Эксплуатация уязвимостей позволяет получить корневой доступ к устройству и создавать бэкдоры.

Обнаруженные проблемы представляют собой уязвимости подделки межсайтовых запросов (CVE-2020-12511), межсайтового скриптинга (CVE-2020-12512), слепого внедрения команд (CVE-2020-12513) и вызова состояния «отказа в обслуживании» (CVE-2020-12514). Уязвимые продукты используют устаревшие версии сторонних компонентов, включая PHP, OpenSSL, BusyBox, ядро ​​Linux и lighttpd, которые, как известно, содержат различные проблемы.

По словам эксперта, если злоумышленник получит доступ к одному из уязвимых устройств Comtrol, он сможет выполнить команды на устройстве с привилегиями суперпользователя и внедрить постоянные бэкдоры.

Поставщик исправил уязвимости, обнаруженные SEC Consult, через несколько месяцев после того, как получил уведомление. SEC Consult также опубликовала уведомление безопасности, содержащее PoC-код для эксплуатации каждой из уязвимостей.

Подписывайтесь на каналы “SecurityLab” в
TelegramTelegram и
TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.





Source link

Is your business effected by Cyber Crime?

If a cyber crime or cyber attack happens to you, you need to respond quickly. Cyber crime in its several formats such as online identity theft, financial fraud, stalking, bullying, hacking, e-mail fraud, email spoofing, invoice fraud, email scams, banking scam, CEO fraud. Cyber fraud can lead to major disruption and financial disasters. Contact Digitpol’s hotlines or respond to us online.

Digitpol’s Cyber Crime Investigation Unit provides investigative support to victims of cyber crimes. Digitpol is available 24/7. https://digitpol.com/cybercrime-investigation/

Europe +31558448040
UK +44 20 8089 9944
ASIA +85239733884