1 мин на чтение


Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.


Бреши в прошивке Honeywell Midas и Midas Black позволяют получить доступ к детекторам.

Исследователи из ICS-CERT сообщили об опасных уязвимостях в прошивке промышленных детекторов газа Midas и Midas Black производства компании Honeywell. Бреши позволяют удаленному злоумышленнику получить несанкционированный доступ к устройствам, вносить изменения в конфигурацию и запускать процессы калибровки или тестирования. Атаку может успешно осуществить даже хакер с минимальными навыками. Уязвимости затрагивают все версии прошивки продуктов Midas (включая 1.13b1) и Midas Black (включая 2.13b1). Брешь CVE-2015-7907 позволяет полностью обойти аутентификацию, а CVE-2015-7908 – получить пароль администратора, передающийся открытым текстом. Несмотря на сложную конструкцию и специфическое предназначение детекторов, осуществить атаку на устройства очень просто. Подобные уязвимости встречаются регулярно, поэтому должны с легкостью обнаруживаться при тестировании производителем. Вызывает удивление, почему Honeywell допустила появление таких брешей в своих продуктах, используемых в промышленном секторе. Уязвимости не были бы столь опасными, если бы не возможность удаленной эксплуатации. Поскольку Midas и Midas Black могут подключаться к интернету, под угрозой оказываются все пользователи детекторов. Атаку может осуществить любой нашедший соответствующее подключенное устройство, что не так сложно, как может показаться на первый взгляд. Скачать обновления для прошивки Midas и Midas Black можно с официального сайта Honeywell. Промышленный детектор газа – устройство для обнаружения и сигнализации наличия газов во вредных или опасных для человека концентрациях в среде, где он работает и живет. ICS-CERT - Компьютерная группа реагирования на чрезвычайные ситуации, связанные с промышленными системами управления. Работает при сотрудничестве с Управлением по кибербезопасности и коммуникациям Министерства внутренней безопасности США.

Источник </div>

--- === @zlonov === ---


Комментарии из Telegram


Комментарии ВКонтакте