Kessler-Ellis Products Infilink HMI sérülékenység

CH azonosító

CH-7298

Angol cím

Kessler-Ellis Products Infilink Hmi Insufficiently Protected Credentials

Felfedezés dátuma

2012.07.30.

Súlyosság

Magas

Érintett rendszerek

Infilink HMI
Kessler-Ellis Products

Érintett verziók

Kessler-Ellis Products (KEP) Infilink HMI V5.00.23

Összefoglaló

A Kessler-Ellis Products Infilink HMI termékek egy sérülékenységét jelentették, amelyet kihasználva a támadók jogosulatlan hozzáférést szerezhetnek a rendszerhez.

Leírás

A sérülékenység kihasználásával meg lehet szerezni az általánosan használt jelszó kulcsot, mivel a szoftver nem megfelelően tárolja a felhasználói információkat a projekt állományokban (a titkosításra csak egy egyszerű bináris XOR műveletet használ). A felhasznált titkosító kulcs azonos az összes telepített szoftverben. A sérülékenységet távolról nem lehet kihasználni.

Megjegyzés: a sérülékenység kihasználására alkalmas PoC (proof of concept) kódot nyilvánosságra hozták.

Megoldás

Jelenleg nincs elérhető javítás.

Javaslatok a kockázatok csökkentésére:

  • Minimalizálja a vezérlőrendszer eszközök hálózati elérhetőségét! A kritikus eszközök ne érjék el közvetlenül az Internetet!
  • A vezérlőrendszer hálózatokat és a távolról elérhető eszközöket védje tűzfalakkal és szigetelje el őket az üzleti hálózattól!
  • Távoli hozzáférés szükségessége esetén használjon olyan biztonsági megoldásokat, mint a virtuális magánhálózat (VPN)!

Hivatkozások

Egyéb referencia: www.us-cert.gov