Войти в почту

В Moxa ThingsPro Suite обнаружены семь уязвимостей

В IIoT-шлюзе и менеджере устройств ThingsPro Suite производства компании Moxa обнаружены проблемы с безопасностью. Как сообщают специалисты Центра реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского» (Kaspersky Lab ICS CERT), по результатам двухнедельного исследования им удалось выявить семь уязвимостей, в том числе критических. Совместная эксплуатация уязвимостей позволяет неавторизованному злоумышленнику удаленно получить полный контроль над устройством и повысить свои привилегии до максимальных. CVE-2018-18390: Позволяет осуществить атаку user enumeration и методом перебора получить список имен пользователей. CVE-2018-18391: Позволяет повысить привилегии. CVE-2018-18392: Недостаток контроля доступа. CVE-2018-18393: При смене пароля сервер не запрашивает старый пароль. CVE-2018-18394: Чувствительная информация хранится в незашифрованном виде. CVE-2018-18395: Позволяет повысить привилегии (10 баллов по шкале опасности уязвимостей CVSS). CVE-2018-18396: Позволяет удаленно выполнить код (10 баллов по шкале опасности уязвимостей CVSS). Эксплуатация уязвимостей возможна только в случае, если у атакующего есть возможность отправлять запросы web-серверу ThingsPro Suite и получать от него ответы. Другими словами, атака возможна, если у злоумышленника есть доступ к панели администрирования устройства. Moxa выпустила новую версию ThingsPro Suite 2.3, где все вышеупомянутые уязвимости были исправлены.