Уязвимости в продуктах Pepperl+Fuchs позволяют внедрять бэкдоры

15 января 2021 года

Исследователь безопасности из австрийской компании SEC Consult обнаружил ряд уязвимостей в промышленных шлюзах Pepperl+Fuchs Comtrol IO-Link Master. Эксплуатация уязвимостей позволяет получить корневой доступ к устройству и создавать бэкдоры.

Обнаруженные проблемы представляют собой уязвимости подделки межсайтовых запросов (CVE-2020-12511), межсайтового скриптинга (CVE-2020-12512), слепого внедрения команд (CVE-2020-12513) и вызова состояния «отказа в обслуживании» (CVE-2020-12514). Уязвимые продукты используют устаревшие версии сторонних компонентов, включая PHP, OpenSSL, BusyBox, ядро ​​Linux и lighttpd, которые, как известно, содержат различные проблемы.

По словам эксперта, если злоумышленник получит доступ к одному из уязвимых устройств Comtrol, он сможет выполнить команды на устройстве с привилегиями суперпользователя и внедрить постоянные бэкдоры.

Поставщик исправил уязвимости, обнаруженные SEC Consult, через несколько месяцев после того, как получил уведомление. SEC Consult также опубликовала уведомление безопасности, содержащее PoC-код для эксплуатации каждой из уязвимостей.

Источники править

 
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.