Приложение МосОблЕирц разглашает персональные данные абонентов

Приложение МосОблЕирц разглашает персональные данные абонентов

Пользователь «Хабра» сообщил о критической дыре в приложении от МосОблЕирц (Московский областной единый информационно-расчётный центр). Сообщается, что уязвимость довольно старая, благодаря ей персональные данные пользователей могут попасть в руки третьих лиц.

Исследователь, известный под псевдонимом bofh, так комментирует свою находку:

«”Дыре”, скорее всего, столько же лет, сколько и их мобильному приложению, и, возможно, ей уже давно кто-то пользуется. <…> Никто не думал, что можно батчем начислить 2.4 миллионам обслуживаемых абонентов рандомные расходы по счетчикам».

Также bofh подчеркивает, что злоумышленник, используя эту брешь, может получить ФИО и адрес абонентов МосОблЕирц.

Все началось с того, что знакомый bofh установил себе соответствующее приложение, указав свой личный счет. Но потом выяснилось, что он ошибся (есть еще версия, что сделал это специально) на единицу, что позволило ему получить вместо своей квартиры — следующую.

Таким образом, любой авторизовавшийся пользователь может просто подставлять различные коды личного счета, что будет выдавать ему ФИО и адреса этих абонентов.

«Опытным путем было установлено, что первые три цифры определяют город. Начислять данные по счетчикам чужим ЛС тоже, разумеется, можно. Программным способом начислять не пробовал, и надеюсь, никто не попробует», — продолжает пользователь «Хабра».

Как видно, это достаточно серьезная брешь в безопасности, которую нужно срочно устранять. Однако…

«Да, я пытался связаться с разработчиками. Нет, ответа не было»…

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Siemens устранил 17 дыр в системе управления производством энергии

Positive Technologies помогла Siemens устранить опасные уязвимости в системе управления производством электроэнергии. Уязвимости были обнаружены в двух компонентах SPPA-T3000 — в сервере приложений и сервере миграции.

В коде сервера приложений было найдено семь уязвимостей. Три из них позволяют выполнить произвольный код в системе. В первом случае это возможно благодаря использованию незащищенного сервиса Remote Method Invocation (RMI), причем для эксплуатации уязвимости аутентификация не требуется. Другая возможность выявлена в сервисе Java Management Extensions (JMX), запущенном на сервере приложений. Выполнить код в системе позволяет и наличие в системе метода, доступного через удаленный вызов процедур (RPC-метода), предназначенного для администрирования и не требующего аутентификации.

Еще три уязвимости сервера приложений связаны с недостатком аутентификации некоторых сервисов, который позволяет остановить некоторые запущенные внутри системы контейнеры и вызвать отказ в обслуживании сервера. Последняя уязвимость позволяет загружать произвольные файлы без какой-либо авторизации.

Другие десять уязвимостей обнаружены в сервере миграции MS-3000. В их числе две возможности удаленного чтения и записи произвольных файлов. Так, например, злоумышленник может прочитать файл /etc/shadow, содержащий зашифрованные пароли пользователей, и попробовать подобрать пароль.

Также выявлены множественные недостатки безопасности типа «переполнение буфера на куче». Их эксплуатация может, среди прочего, привести к отказу сервера миграции.

«Эксплуатация некоторых уязвимостей может позволить злоумышленнику выполнить произвольный код на сервере приложений (одном из важнейших компонентов системы SPPA-T3000), получить контроль над технологическим процессом и нарушить его. Это грозит прекращением выработки электроэнергии и аварийными ситуациями на ТЭС или ГЭС — там, где установлена уязвимая система», — отмечает руководитель отдела безопасности промышленных систем управления Positive Technologies Владимир Назаров.

Пользователям рекомендуется установить последнюю версию SPPA-T3000, в которой устранены обнаруженные уязвимости.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru