CH azonosító
CH-5413Angol cím
INDUCTIVE AUTOMATION IGNITION INFORMATION DISCLOSURE VULNERABILITYFelfedezés dátuma
2011.08.18.Súlyosság
KritikusÖsszefoglaló
Az Inductive Automation a SCADA (Supervisory Control and Data Acquisition) rendszerekben használt Ignition terméke kapcsán, annak egy sérülékenységét jelentették, amelyet kihasználva a támadók bizalmas információkat szerezhetnek meg.
Leírás
A sérülékenységet egy speciálisan elkészített Uniform Resource Locator (URL) cím betöltésével lehet kiváltani, aminek következtében bizalmas információkat tartalmazó állományokat lehet letölteni (rendszer adatokat, felhasználónév és jelszó hash-t tartalmazó fájlokat, stb).
A gyártó javasolja, hogy a kritikus rendszereket ne csatlakoztassák közvetlenül az internetre, hanem tűzfal mögül legyenek elérhetőek! Amennyiben távoli elérés szükséges, az valamilyen biztonságos módszerrel, pl. VPN segítségével legyen megoldva!
A sérülékenységet az Inductive Automation, Ignition termék 7.2.8.178 előtti kiadásaiban jelentették.
Megoldás
Telepítse a javítócsomagokatTámadás típusa
Other (Egyéb)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.us-cert.gov