Баги в продуктах Pepperl+Fuchs IO-Link Master грозят появлением бэкдора

Татьяна Никитина 15 Января 2021 - 13:32

...

Баги в продуктах Pepperl+Fuchs IO-Link Master грозят появлением бэкдора

Несколько уязвимостей в промышленных шлюзах производства Pepperl+Fuchs / Comtrol позволяют злоумышленнику получить root-доступ к устройству и открыть бэкдор. Проблемы затрагивают более десятка продуктов линейки IO-Link Master; пользователям настоятельно рекомендуется обновить прошивки.

Уязвимости зарегистрированы (PDF) под идентификаторами CVE-2020-12511, CVE-2020-12512, CVE-2020-12513, CVE-2020-12514, CVE-2018-20679 и CVE-2018-0732. Две последние возникли из-за использования устаревших версий компонентов сторонней разработки — OpenSSL и BusyBox.

Все эти бреши относятся к разным классам: CSRF (подделка межсайтовых запросов), XSS (межсайтовый скриптинг), возможность внедрения команд, разыменование null-указателя, чтение за пределами выделенного в памяти буфера, DoS (отказ в обслуживании). В зависимости от степени опасности проблемы получили от 6,0 до 8,8 балла по шкале CVSS.

Производитель устройств, работающих по протоколу IO-Link, выпустил патчи через несколько месяцев после получения отчета о находках. Заплатки включены в состав трех новых пакетов:

загрузчик U-Boot версии 1.36;
образ системы версии 1.52;
базовый пакет приложения версии 1.6.11.

В том случае, когда затронутый продукт подключен к сети общего пользования, Pepperl+Fuchs советует также принять дополнительные меры защиты:

заблокировать на файрволе входящий трафик из недоверенных сетей, в особенности запросы к веб-странице администрирования;
усилить пароли пользователя устройств и ужесточить настройки безопасности в таких аккаунтах, если к сети имеют доступ недоверенные пользователи или приложения.

PoC-эксплойты для названных уязвимостей уже стали достоянием общественности.

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 16 Июня 2026 - 21:10

Домашние пользователи Государство Системы контентной веб-фильтрации

Дуров назвал ошибкой недельную блокировку Telegram в Индии

Основатель Telegram Павел Дуров прокомментировал решение властей Индии временно ограничить работу мессенджера из-за скандала с утечкой экзаменационных материалов. По словам Дурова, недельная блокировка Telegram ударила не по организаторам утечек, а по 150 миллионам обычных пользователей платформы в стране.

Поводом для ограничений стала история вокруг медицинского вступительного экзамена NEET.

Власти Индии отменили майское тестирование после того, как экзаменационные вопросы начали распространяться через Telegram. Повторный экзамен назначили на 21 июня, а работу мессенджера решили ограничить до 22 июня.

«Министерство информационных технологий Индии запретило Telegram на одну неделю, потому что некоторые пользователи делились утечкой экзаменационных вопросов. Это наказывает 150 миллионов обычных пользователей Telegram в Индии, а не инсайдеров, которые слили материалы», — заявил Дуров у себя в канале.

В индийском министерстве образования объяснили это борьбой с организованными группами, которые использовали Telegram для мошенничества и распространения утечек.

Однако Дуров утверждает, что блокировка не решила проблему. По его словам, после введения ограничений распространение материалов просто переместилось в другие приложения.

Глава Telegram также рассказал, что команда мессенджера в последние недели активно сотрудничала с индийскими властями и самостоятельно удаляла каналы, связанные с утечками экзаменационных заданий и мошенническими схемами.

Кроме того, Telegram сделал более заметной отметку о редактировании сообщений, чтобы усложнить манипуляции с датами публикаций задним числом.