CH azonosító
CH-7298Angol cím
Kessler-Ellis Products Infilink Hmi Insufficiently Protected CredentialsFelfedezés dátuma
2012.07.30.Súlyosság
MagasÉrintett rendszerek
Infilink HMIKessler-Ellis Products
Érintett verziók
Kessler-Ellis Products (KEP) Infilink HMI V5.00.23
Összefoglaló
A Kessler-Ellis Products Infilink HMI termékek egy sérülékenységét jelentették, amelyet kihasználva a támadók jogosulatlan hozzáférést szerezhetnek a rendszerhez.
Leírás
A sérülékenység kihasználásával meg lehet szerezni az általánosan használt jelszó kulcsot, mivel a szoftver nem megfelelően tárolja a felhasználói információkat a projekt állományokban (a titkosításra csak egy egyszerű bináris XOR műveletet használ). A felhasznált titkosító kulcs azonos az összes telepített szoftverben. A sérülékenységet távolról nem lehet kihasználni.
Megjegyzés: a sérülékenység kihasználására alkalmas PoC (proof of concept) kódot nyilvánosságra hozták.
Megoldás
Jelenleg nincs elérhető javítás.
Javaslatok a kockázatok csökkentésére:
- Minimalizálja a vezérlőrendszer eszközök hálózati elérhetőségét! A kritikus eszközök ne érjék el közvetlenül az Internetet!
- A vezérlőrendszer hálózatokat és a távolról elérhető eszközöket védje tűzfalakkal és szigetelje el őket az üzleti hálózattól!
- Távoli hozzáférés szükségessége esetén használjon olyan biztonsági megoldásokat, mint a virtuális magánhálózat (VPN)!
Támadás típusa
Authentication Issues (Hitelesítés)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Egyéb referencia: www.us-cert.gov