CH azonosító
CH-7754Angol cím
SINAPSI ESOLAR LIGHT PHOTOVOLTAIC SYSTEM MONITOR MULTIPLE VULNERABILITIESFelfedezés dátuma
2012.10.14.Súlyosság
KritikusÉrintett rendszerek
SinapsieSolar Light Photovoltaic System Monitor
Érintett verziók
Sinapsi eSolar Light Photovoltaic System Monitor
Összefoglaló
A Sinapsi eSolar Light Photovoltaic System Monitor több sérülékenységét jelentették, amiket kihasználva a támadók feltörhetik a sérülékeny rendszert.
Leírás
A sérülékenységet az okozza, hogy az eszköz egy előre beállított felhasználói fiókot tartalmaz, amelyen keresztül a támadók távolról kapcsolódhatnak a szerverhez, tetszőleges kódot futtathatnak, amellyel sérülhet a rendszer elérhetősége és integritása. A sérülékenységet távolról kihasználó PoC (proof-of-concept) kód nyilvánosságra került, amely az alábbi típusú, nem részletezett támadásokat teszi lehetővé:
- Jogosulatlan hozzáférés
- SQL befecskendezéses (SQL injection) támadás
- Távoli parancs végrehajtás
- Broken session enforcement
Megoldás
A gyártó még nem adott ki javítást a sérülékenységekre. Javaslatok a kockázatok csökkentésére:
- Minimalizálja a vezérlőrendszer eszközök hálózati elérhetőségét! A kritikus eszközök ne érjék el közvetlenül az Internetet!
- A vezérlőrendszer hálózatokat és a távolról elérhető eszközöket védje tűzfalakkal és szigetelje el őket az üzleti hálózattól!
- Távoli hozzáférés szükségessége esetén használjon olyan biztonsági megoldásokat, mint a virtuális magánhálózat (VPN)!
Támadás típusa
Authentication Issues (Hitelesítés)Input manipulation (Bemenet módosítás)
System access (Rendszer hozzáférés)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.us-cert.gov