Ростелеком-Солар помог устранить дыры в промышленном оборудовании MOXA

Ростелеком-Солар помог устранить дыры в промышленном оборудовании MOXA

Международный вендор промышленного оборудования МОХА выпустил обновления безопасности для Ethernet-оборудования с целью устранения уязвимостей, обнаруженных Евгением Дружининым и Ильей Карповым, исследователями Лаборатории кибербезопасности АСУ ТП «Ростелеком-Солар». Среди прочего, было обнаружено, что устройства передавали в открытом, незашифрованном виде чувствительную информацию, в том числе логины и пароли пользователей.

Всего в ходе исследования оборудования класса NPort IAW5000A-I/O было обнаружено 6 различных типов уязвимостей, в том числе высококритичных. Помимо проблем с шифрованием, они связаны со слабой реализацией процессов аутентификации (слабые пароли, отсутствие защиты от перебора), возможностью «кражи» сессий и некорректной реализацией распределения прав учетных записей, в результате которой обычный пользователь мог получить доступ к управлению настройками устройства в качестве администратора. Данные об уязвимостях были направлены вендору, который выпустил соответствующие обновления безопасности. Информация о выявленных уязвимостях размещены на сайте Банка данных с постоянными идентификаторами BDU:2020-04049 - BDU:2020-04054.

MOXA Inc. — мировой лидер в производстве и разработке оборудования связи для систем промышленной автоматики с представительствами в 70 странах мира, в том числе в России. Корпорация занимает 3 место в мире в сегменте Industrial Ethernet – оборудования, которое позволяет объединить системы управления технологическими процессами в единую сеть и централизованно управлять ими с помощью MES-/SCADA-систем. Промышленные Ethernet-устройства МОХА широко распространены в нефтегазовом и электроэнергетическом комплексах, применяются в ряде транспортных инфраструктур, в том числе в России.

«Лаборатория кибербезопасности АСУ ТП "Ростелеком-Солар" сотрудничает с рядом вендоров промышленного оборудования в части выявления и устранения уязвимостей в их решениях. Эта стратегическая деятельность направлена на повышение общего уровня защищенности российских предприятий, широко применяющих данное оборудование при построении промышленных сегментов инфраструктуры, и мы рады отметить ту оперативность в устранении уязвимостей, которую демонстрирует как MOXA, так и другие вендоры», – подчеркнул Ян Сухих, руководитель отдела кибербезопасности АСУ ТП компании «Ростелеком-Солар».

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В TikTok обнаружены баги, позволяющие угнать аккаунт за один клик

Операторы видеосервиса TikTok устранили две уязвимости, которые в комбинации позволяют без особых трудозатрат захватить контроль над чужим аккаунтом. Одна из них присутствовала на сайте, другая объявилась в клиентском приложении. Соответствующие патчи вышли 18 сентября, информация о багах была опубликована в конце прошлой недели.

Обе проблемы обнаружил живущий в Берлине исследователь, использующий псевдоним milly. Отчет о находках молодой человек подал в рамках программы поиска багов, запущенной на платформе HackerOne, и в итоге был удостоен награды в размере 3860 долларов США.

Согласно записи milly на HackerOne, уязвимость на сайте TikTok возникла из-за неадекватной санации одного из параметров URL и классифицируется как «отраженный межсайтовый скриптинг». Эксплуатация в данном случае позволяет выполнить вредоносный код в браузере пользователя посредством проведения XSS-атаки. Степень опасности бреши оценена как высокая (8,2 балла по шкале CVSS); идентификатор CVE ей пока не присвоен.

Уязвимость в клиенте TikTok относится к классу «подделка межсайтовых запросов» (CSRF). Ее использование позволяет задать новый пароль для учетной записи, допускающей вход через сторонние приложения (по технологии единого входа — SSO, Single Sign-On), и совершать действия от имени законного владельца аккаунта.

Для демонстрации уязвимостей исследователь создал простейший JavaScript-эксплойт для CSRF и внедрил его в URL TikTok в качестве значения уязвимого параметра. Использование этой связки помогло milly эффективно перехватить контроль над аккаунтом.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru