ICONICS GENESIS32/BizViz Security Configurator sérülékenység

CH azonosító

CH-7300

Angol cím

ICONICS GENESIS32/BizViz Security Configurator Authentication Bypass Vulnerability

Felfedezés dátuma

2012.07.30.

Súlyosság

Kritikus

Érintett rendszerek

BizViz
Genesis32
Iconics

Érintett verziók

Genesis32 V9.22 és korábbi verziók
BizViz V9.22 és korábbi verziók

Összefoglaló

Az ICONICS GENESIS32/BizViz egy sérülékenységét jelentették, amelyet kihasználva a támadók emelt szintű jogosultságokat szerezhetnek.

Leírás

A sérülékenység sikeres kihasználásával a támadók megkerülhetik a normál autentikációs eljárásokat, és teljes mértékben átvehetik az ellenőrzést az eszköz felett. A támadó egy a rendszerből kizárt GENESIS32 vagy BizViz felhasználónak mutatja magát, és olyan autentikációs kódot tud generálni, amihez nincs szükség az ICONICS technikai supportra. A kódot felhasználva a támadó be tud lépni a Security Configurator-ba teljes adminisztratív jogosultsággal, ahol meg tudja változtatni a rendszer és a felhasználók beállításait.

Megjegyzés: a sérülékenységet jelenleg már aktívan kihasználják.

Megoldás

A gyártó kiadott egy javítást a GENESIS32 és BizViz 8.05, 9.01, 9.13 és 9.22 verziókhoz, amelyet az alábbi hivatkozáson lehet letölteni
http://www.iconics.com/certs

További javaslatok a kockázatok csökkentésére:

  • Minimalizálja a vezérlőrendszer eszközök hálózati elérhetőségét! A kritikus eszközök ne érjék el közvetlenül az Internetet!
  • A vezérlőrendszer hálózatokat és a távolról elérhető eszközöket védje tűzfalakkal és szigetelje el őket az üzleti hálózattól!
  • Távoli hozzáférés szükségessége esetén használjon olyan biztonsági megoldásokat, mint a virtuális magánhálózat (VPN)!