BSI'ya göre: Tanınmış PLC üreticisi Phoenix Contact, endüstriyel ürünlerindeki bir dizi kritik ve oldukça tehlikeli güvenlik açığını bildirmek zorundadır: TC ROUTER ve TC CLOUD CLIENT, WP 6xxx web panelleri ve PLCnext kontrol modüllerinde.
BSI - Federal Bilgi Güvenliği Ofisi, üretici Phoenix Contact'ın TC ROUTER ve TC CLOUD CLIENT endüstriyel yönlendiricilerindeki kritik ve son derece tehlikeli güvenlik açıkları konusunda uyarıda bulunuyor ve derhal harekete geçilmesi çağrısında bulunuyor. Üreticinin kendisi ayrıca WP 6xxx web panellerinde ve ayrıca PLCnext kontrol modüllerinde diğer kritik boşlukları bildirir.
Savunmasız endüstriyel kontrol sistemleri
TC ROUTER, TC BULUT İSTEMCİSİ ve BULUT İSTEMCİSİ
TC ROUTER, TC CLOUD CLIENT ve CLOUD CLIENT Cihazı için bildirilen güvenlik açıkları iki güvenlik açığıdır, ancak bunlardan yalnızca biri 9.6 üzerinden 10 CVSS puanı ile kritiktir. İkincisi 4.9 puanına sahiptir. Saldırı: Uzaktaki, anonim bir saldırgan, siteler arası komut dosyası çalıştırma saldırısı gerçekleştirmek ve bir hizmet reddi durumu oluşturmak için güvenlik açıklarından yararlanabilir.
WP 6xxx web panelleri
WP 6xxx web panelleri ayrıca toplam 14 güvenlik açığına karşı savunmasızdır. Bunlardan 4'ü 9.9 CVSS değeriyle kritik, diğer 6 güvenlik açığı ise 7.2 ila 8.8 CVSS değerine sahip ve bu nedenle oldukça tehlikeli kabul ediliyor. Diğer tüm boşluklar CVSS açısından 3.8 ila 4.3 arasındadır. Bu güvenlik açıkları, bir saldırganın aygıtın gizliliğini, bütünlüğünü ve kullanılabilirliğini tehlikeye atmasına olanak tanır. Kimliği doğrulanmış bir saldırgan, bir yönetim kabuğu elde edebilir, yönetici ayrıcalıklarıyla herhangi bir işletim sistemi komutunu çalıştırabilir, "tarayıcı" kullanıcısı tarafından erişilebilen tüm dosyaları okuyabilir, geçerli oturum tanımlama bilgileri oluşturabilir, web hizmeti parolasının şifresini çözebilir, SNMP topluluklarını alabilir veya kötü amaçlı bir üretici yazılımı güncelleme paketi oluşturabilir. .
PLCnext Mühendisi güvenlik açıkları
Ayrıca Phoenix Contact, PLCnext'te 11 Mühendis güvenlik açığı bildirdi. LibGit2Sharp/LibGit2 kitaplıkları etkilenir. Bir güvenlik açığı 9.8 CVSS değeri ile kritiktir, diğer 9 güvenlik açığı 7.5 ila 8.8 CVSS değerine sahiptir ve bu nedenle oldukça tehlikelidir.
LibGit2Sharp'ta veya temeldeki LibGit2 kitaplığında birkaç güvenlik açığı keşfedildi. Bu açık kaynaklı bileşen, dünya çapında birçok üründe kullanılmaktadır. Ürün, uzaktan kod yürütme, ayrıcalık yükseltme ve kurcalamaya karşı savunmasızdır. PLCnext Engineer, sürüm kontrol yetenekleri sağlamak için LibGit2Sharp kitaplığını kullanır.
Donanım yazılımı güncellemeleri mevcut
Sağlayıcı Phoenix Contact, tüm güvenlik açıkları için uygun aygıt yazılımı güncellemeleri ve yamaları sağlar. Saldırganlar, özellikle kritik güvenlik açıklarında büyük zararlara neden olabileceğinden, şirketler bunları hemen kullanmalıdır. Güvenlik açıklarının bir listesi ve daha fazla açıklama VDE Cert – VDE Elektrik, Elektronik ve Bilgi Teknolojileri Derneği web sitesinde bulunabilir.
Daha fazlası VDE.com'da