В контроллерах WAGO выявлена 10-балльная уязвимость

В контроллерах WAGO выявлена 10-балльная уязвимость

В контроллерах WAGO выявлена 10-балльная уязвимость

В программируемых контроллерах и сенсорных панелях управления, выпускаемых WAGO, обнаружены четыре опасные уязвимости; одна из них оценена в 10 баллов из 10 возможных по шкале CVSS. Все бреши позволяют удаленно вызвать на устройстве состояние отказа в обслуживании (DoS), а в некоторых случаях — даже выполнить вредоносный код и получить доступ к промышленной сети.

Согласно бюллетеню германской CERT, отслеживающей киберинциденты в сфере управления производственными процессами, новые уязвимости вызваны ошибками при работе с памятью в процессе выполнения команд. Проблемы актуальны для ПЛК серий PFC100 и PFC200, контроллеров линейки Edge и пультов Touch Panel 600, реализующих человеко-машинный интерфейс.

Три уязвимости связаны с работой сервиса I/O-Check (iocheckd); четвертая, самая опасная, была выявлена в инструментах диагностики.  Классифицируются они следующим образом:

  • CVE-2021-34566 — переполнение буфера в общей памяти;
  • CVE-2021-34567 — чтение за границами выделенного буфера;
  • CVE-2021-34568 — отсутствие регулирования нагрузки при распределении ресурсов;
  • CVE-2021-34569 — запись за границами буфера.

Эксплойт во всех случаях осуществляется отправкой сетевого пакета с командами операционной системы. Патчи для всех затронутых продуктов вендор выпустил в прошлом месяце в составе обновления FW18 Patch 3.

В комментарии для SecurityWeek автор находок, Ури Кац (Uri Katz) из Claroty, отметил, что при связка CVE-2021-34566 и CVE-2021-34567 позволяет удаленно и без авторизации выполнить код для перехвата контроля над любым устройством WAGO PFC100 или 200.

По оценке исследователя, в настоящее время из интернета доступны несколько сотен таких ПЛК. К тому же велика вероятность, что на них работает демон I/O-Check: этот сервис нужен только во время установки устройства и ввода его в эксплуатацию, но во многих организациях его после этого не отключают.

Пользователям перечисленных продуктов WAGO настоятельно рекомендуется установить обновление или хотя бы отключить I/O-Check.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Троян удаленного доступа пугает жертв дикими криками и страшными картинками

Эксперты ESET обнаружили необычный плагин, созданный для NonEuclid RAT. Модуль использует Windows API для подачи громких звуковых сигналов и параллельно отображает картинку, которая может привидеться только в страшном сне.

Объявившийся в этом году троян NonEuclid — один из многочисленных форков опенсорсного AsyncRAT. Он тоже обладает модульной архитектурой, позволяющей расширить функциональность зловреда.

При создании NonEuclid вирусописатели дали волю своей фантазии: в отличие от более «классических» собратьев DcRAT и VenomRAT, их детище умеет шифровать данные, брутфорсить пароли к FTP и SSH, подменять адреса криптокошельков в буфере обмена, внедрять в PE-файлы пейлоад по выбору оператора, в том числе на USB-устройствах.

Найденный исследователями новый плагин именуется «Screamer» («кричалка», «пугалка»). В него вшиты пять изображений, и по команде оператора зловред выбирает одно из них для вывода.

Он также получает WAV-файл и значение задержки, а при проигрывании выводит звук и высокие частоты на максимум, манипулируя Windows API.

 

Исследователи полагают, что столь необычный компонент предназначен для диверсий (в случае использования зараженной системы для критически важных операций) и шантажа.

Написанный на C# инструмент удаленного администрирования AsyncRAT был опубликован на GitHub как проект с открытым исходным кодом в 2019 году. С тех пор злоумышленники неустанно плодят вредоносные клоны с дополнительными возможностями.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru