बीएसआई: गंभीर कमजोरियों वाले औद्योगिक राउटर और पीएलसी

बीएसआई के अनुसार: प्रसिद्ध पीएलसी निर्माता फीनिक्स कॉन्टैक्ट को अपने औद्योगिक उत्पादों में महत्वपूर्ण और अत्यधिक खतरनाक कमजोरियों की एक पूरी श्रृंखला की रिपोर्ट करनी है: टीसी राउटर और टीसी क्लाउड क्लाइंट, WP 6xxx वेब पैनल और पीएलसीनेक्स्ट कंट्रोल मॉड्यूल में।

बीएसआई - सूचना सुरक्षा के लिए संघीय कार्यालय निर्माता फीनिक्स कॉन्टैक्ट के औद्योगिक राउटर टीसी राउटर और टीसी क्लाउड क्लाइंट में महत्वपूर्ण और अत्यधिक खतरनाक सुरक्षा अंतराल की चेतावनी देता है और तत्काल कार्रवाई का आह्वान करता है। निर्माता स्वयं भी अपने WP 6xxx वेब पैनल और PLCnext नियंत्रण मॉड्यूल में अन्य महत्वपूर्ण कमियों की रिपोर्ट करता है।

कमजोर औद्योगिक नियंत्रण प्रणालियाँ

टीसी राउटर, टीसी क्लाउड क्लाइंट और क्लाउड क्लाइंट

टीसी राउटर, टीसी क्लाउड क्लाइंट और क्लाउड क्लाइंट डिवाइस के लिए रिपोर्ट की गई कमजोरियां दो कमजोरियां हैं, लेकिन उनमें से केवल एक ही 9.6 में से 10 के सीवीएसएस स्कोर के साथ महत्वपूर्ण है। दूसरे का स्कोर 4.9 है। हमला: एक दूरस्थ, अज्ञात हमलावर क्रॉस-साइट स्क्रिप्टिंग हमला करने और सेवा से इनकार करने की स्थिति बनाने के लिए कमजोरियों का फायदा उठा सकता है।

WP 6xxx वेब पैनल

WP 6xxx वेब पैनल भी कुल 14 कमजोरियों के प्रति संवेदनशील हैं। उनमें से 4 9.9 के सीवीएसएस मान के साथ महत्वपूर्ण हैं, 6 अन्य कमजोरियों का सीवीएसएस मान 7.2 से 8.8 है और इसलिए उन्हें अत्यधिक खतरनाक माना जाता है। अन्य सभी अंतराल सीवीएसएस के संदर्भ में 3.8 से 4.3 पर हैं। ये कमजोरियाँ किसी हमलावर को डिवाइस की गोपनीयता, अखंडता और उपलब्धता से समझौता करने की अनुमति देती हैं। एक प्रमाणित हमलावर एक प्रबंधन शेल प्राप्त कर सकता है, प्रशासकीय विशेषाधिकारों के साथ किसी भी ऑपरेटिंग सिस्टम कमांड को चला सकता है, "ब्राउज़र" उपयोगकर्ता के लिए पहुंच योग्य सभी फाइलों को पढ़ सकता है, वैध सत्र कुकीज़ बना सकता है, वेब सेवा पासवर्ड को डिक्रिप्ट कर सकता है, एसएनएमपी समुदायों को पुनः प्राप्त कर सकता है या एक दुर्भावनापूर्ण फर्मवेयर अपडेट पैकेज बना सकता है। .

पीएलसीनेक्स्ट इंजीनियर की कमजोरियाँ

इसके अलावा, फीनिक्स कॉन्टैक्ट ने पीएलसीनेक्स्ट में 11 इंजीनियर कमजोरियों की रिपोर्ट दी है। लाइब्रेरी LibGit2Sharp/LibGit2 प्रभावित हैं। 9.8 के सीवीएसएस मान के साथ एक भेद्यता महत्वपूर्ण है, 9 अन्य कमजोरियों का सीवीएसएस मान 7.5 से 8.8 है और इसलिए वे अत्यधिक खतरनाक हैं।

LibGit2Sharp या अंतर्निहित LibGit2 लाइब्रेरी में कई कमजोरियाँ खोजी गई हैं। इस ओपन सोर्स घटक का उपयोग दुनिया भर में कई उत्पादों में किया जाता है। उत्पाद दूरस्थ कोड निष्पादन, विशेषाधिकार वृद्धि और छेड़छाड़ के प्रति संवेदनशील है। PLCnext इंजीनियर संस्करण नियंत्रण क्षमताएं प्रदान करने के लिए LibGit2Sharp लाइब्रेरी का उपयोग करता है।

फर्मवेयर अद्यतन उपलब्ध हैं

प्रदाता फीनिक्स कॉन्टैक्ट सभी कमजोरियों के लिए उपयुक्त फर्मवेयर अपडेट और पैच प्रदान करता है। कंपनियों को इनका तुरंत उपयोग करना चाहिए, क्योंकि हमलावर बहुत नुकसान पहुंचा सकते हैं, खासकर गंभीर कमजोरियों के मामले में। कमजोरियों की सूची और आगे का विवरण वीडीई सर्टिफिकेट - वीडीई एसोसिएशन फॉर इलेक्ट्रिकल, इलेक्ट्रॉनिक एंड इंफॉर्मेशन टेक्नोलॉजीज की वेबसाइट पर पाया जा सकता है।

VDE.com पर और अधिक

 

विषय से संबंधित लेख