Certec webMI2AD sérülékenységek

CH azonosító

CH-6757

Angol cím

CERTEC WEBMI2ADS MULTIPLE VULNERABILITIES

Felfedezés dátuma

2012.04.10.

Súlyosság

Kritikus

Érintett rendszerek

Certec
webMI2ADS

Érintett verziók

Certec webMI2ADS 2.0.2 előtti verziók

Összefoglaló

A Certec webMI2AD több olyan sérülékenysége vált ismertté, amelyeket a támadók kihasználva szolgáltatás megtagadás támadást (DoS Denial of Service) okozhatnak.

Leírás

  1. A webMI webszervere nem ellenőrzi megfelelően a tiltott mappákból való fájlok olvashatóságát. Ezt kihasználva a támadó adatokat szivárogtathat ki speciálisan kialakított kérések küldésével a TCP 80-as portra.
  2. A webMI webszervere nem ellenőrzi megfelelően egy függvény visszatérési értékét. Ezt kihasználva a támadó szolgáltatás megtagadást (DoS Denial of Service) idézhet elő speciálisan kialakított kérések küldésével a TCP 80-as portra.
  3. A támadó leállíthatja az alkalmazást egy nem hitelesített parancsot beküldve a webes felületről a TCP 80-as porton keresztül. Ezt kihasználva szolgáltatás megtagadást (DoS Denial of Service) okozható.
  4. A webMI webszervere nem ellenőrzi megfelelően a HTTP kérésekben nem érvényes értékeket. A támadó ezt kihasználva szolgáltatás megtagadást (DoS Denial of Service) idézhet elő speciálisan kialakított kérések küldésével a TCP 80-as portra.

Megoldás

Frissítsen a 2.0.2-es verzióra (http://www.atvise.com/en/atvise-downloads/products)

További javaslatok a kockázatok csökkentésére:

  • Minimalizálja a vezérlőrendszer eszközök hálózati elérhetőségét! A kritikus eszközök ne érjék el közvetlenül az Internetet!
  • A vezérlőrendszer hálózatokat és a távolról elérhető eszközöket védje tűzfalakkal és szigetelje el őket az üzleti hálózattól!
  • Távoli hozzáférés szükségessége esetén használjon olyan biztonsági megoldásokat, mint a virtuális magánhálózat (VPN)!