今日頭條
官方微信
官方抖音
資訊頻道小編來報(bào):一家德國的油罐測量系統(tǒng)制造商的部分產(chǎn)品存在嚴(yán)重漏洞,黑客易訪問基于web的配置界面。
據(jù)外媒報(bào)道,Tecson/GOK的油罐監(jiān)控設(shè)備中存在一個(gè)嚴(yán)重的漏洞,供應(yīng)商已經(jīng)發(fā)布了補(bǔ)丁,并指出受影響的設(shè)備不足1000臺(tái)。Tecson是一家德國的油罐測量系統(tǒng)制造商,產(chǎn)品有油罐顯示器、液位探頭和遠(yuǎn)程監(jiān)控等。
安全研究員Maxim Rupp發(fā)現(xiàn),一些Tecson設(shè)備受到一個(gè)漏洞的影響,該漏洞允許攻擊者在不需要憑證的情況下訪問基于web的配置界面。攻擊者只需要知道web服務(wù)器上的特定URL和有效請求的格式,就可以訪問配置接口并查看和修改設(shè)置。黑客可完全訪問設(shè)備的基于web的配置界面,如密碼、報(bào)警參數(shù)和輸出狀態(tài)等設(shè)置。這可能會(huì)對(duì)設(shè)備的運(yùn)行產(chǎn)生負(fù)面影響,有助于黑客進(jìn)一步攻擊工業(yè)控制過程。
漏洞為CVE-2019-12254,CVSS評(píng)分9.8,影響LX-Net、LX-Q-Net、e-litro net、SmartBox4 LAN和SmartBox4 pro LAN油罐監(jiān)控產(chǎn)品。固件版本6.3解決了這個(gè)安全漏洞,另外,可以通過禁用端口轉(zhuǎn)發(fā)和遠(yuǎn)程訪問設(shè)備來防止攻擊。
Rupp表示,在得知漏洞存在后,供應(yīng)商花了大約一個(gè)月時(shí)間修復(fù)了該漏洞。雖然有一些設(shè)備暴露在互聯(lián)網(wǎng)上,但這些系統(tǒng)通常只能通過本地網(wǎng)絡(luò)訪問。Tecson表示,受影響的產(chǎn)品主要部署在德國,奧地利和比利時(shí)的組織使用率不到5%。
來源:E安全
北京市公安局海淀分局備案號(hào):11010802023656號(hào)