В IIoT-шлюзе и менеджере устройств ThingsPro Suite производства компании Moxa обнаружены проблемы с безопасностью.
Как сообщают специалисты Центра реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского» (Kaspersky Lab ICS CERT), по результатам двухнедельного исследования им удалось выявить семь уязвимостей, в том числе критических. Совместная эксплуатация уязвимостей позволяет неавторизованному злоумышленнику удаленно получить полный контроль над устройством и повысить свои привилегии до максимальных.
CVE-2018-18390: Позволяет осуществить атаку user enumeration и методом перебора получить список имен пользователей.
- CVE-2018-18391: Позволяет повысить привилегии.
- CVE-2018-18392: Недостаток контроля доступа.
- CVE-2018-18393: При смене пароля сервер не запрашивает старый пароль.
- CVE-2018-18394: Чувствительная информация хранится в незашифрованном виде.
- CVE-2018-18395: Позволяет повысить привилегии (10 баллов по шкале опасности уязвимостей CVSS).
- CVE-2018-18396: Позволяет удаленно выполнить код (10 баллов по шкале опасности уязвимостей CVSS).
Эксплуатация уязвимостей возможна только в случае, если у атакующего есть возможность отправлять запросы web-серверу ThingsPro Suite и получать от него ответы. Другими словами, атака возможна, если у злоумышленника есть доступ к панели администрирования устройства.
Moxa выпустила новую версию ThingsPro Suite 2.3, где все вышеупомянутые уязвимости были исправлены.