В контроллерах WAGO выявлена 10-балльная уязвимость

В контроллерах WAGO выявлена 10-балльная уязвимость

В программируемых контроллерах и сенсорных панелях управления, выпускаемых WAGO, обнаружены четыре опасные уязвимости; одна из них оценена в 10 баллов из 10 возможных по шкале CVSS. Все бреши позволяют удаленно вызвать на устройстве состояние отказа в обслуживании (DoS), а в некоторых случаях — даже выполнить вредоносный код и получить доступ к промышленной сети.

Согласно бюллетеню германской CERT, отслеживающей киберинциденты в сфере управления производственными процессами, новые уязвимости вызваны ошибками при работе с памятью в процессе выполнения команд. Проблемы актуальны для ПЛК серий PFC100 и PFC200, контроллеров линейки Edge и пультов Touch Panel 600, реализующих человеко-машинный интерфейс.

Три уязвимости связаны с работой сервиса I/O-Check (iocheckd); четвертая, самая опасная, была выявлена в инструментах диагностики.  Классифицируются они следующим образом:

  • CVE-2021-34566 — переполнение буфера в общей памяти;
  • CVE-2021-34567 — чтение за границами выделенного буфера;
  • CVE-2021-34568 — отсутствие регулирования нагрузки при распределении ресурсов;
  • CVE-2021-34569 — запись за границами буфера.

Эксплойт во всех случаях осуществляется отправкой сетевого пакета с командами операционной системы. Патчи для всех затронутых продуктов вендор выпустил в прошлом месяце в составе обновления FW18 Patch 3.

В комментарии для SecurityWeek автор находок, Ури Кац (Uri Katz) из Claroty, отметил, что при связка CVE-2021-34566 и CVE-2021-34567 позволяет удаленно и без авторизации выполнить код для перехвата контроля над любым устройством WAGO PFC100 или 200.

По оценке исследователя, в настоящее время из интернета доступны несколько сотен таких ПЛК. К тому же велика вероятность, что на них работает демон I/O-Check: этот сервис нужен только во время установки устройства и ввода его в эксплуатацию, но во многих организациях его после этого не отключают.

Пользователям перечисленных продуктов WAGO настоятельно рекомендуется установить обновление или хотя бы отключить I/O-Check.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Фишинговая схема Darcula атакует iPhone через iMessage, Android — через RCS

«Darcula» — новая киберугроза, которая распространяется по схеме «фишинг как услуга» (phishing-as-a-service, PhaaS) и использует 20 тысяч доменов для подделки брендов и кражи учётных данных пользователей Android-смартфонов и iPhone.

Компании Darcula распространились более чем на 100 стран, атакуются организации из финансовых, государственных, налоговых секторов, а также телекоммуникационные и авиакомпании.

Начинающим и продвинутым кибермошенникам предлагают на выбор более 200 шаблонов сообщений. Отличительная особенность Darcula — использование протокола Rich Communication Services (RCS) для Google Messages (при атаках на Android) и iMessage (для атак на iPhone). Таким образом, в схеме не участвует СМС.

На Darcula первым обратил внимание специалист Netcraft Ошри Калон. Как отмечал исследователь, платформа используется для сложных фишинговых атак. Операторы задействуют JavaScript, React, Docker и Harbor для постоянного обновления, добавляя набору новые функциональные возможности.

Злоумышленники выбирают узнаваемые бренды, после чего маскируют веб-ресурсы под официальные сайты этих корпораций. Посадочные страницы, как правило, выглядят так:

 

Для отправки фишинговых URL киберпреступники отказались от стандартных СМС-сообщений и стали использовать вместо них более продвинутые RCS (Android) и iMessage (iOS).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru