聚焦源代碼安全,網羅國內外最新資訊!
編譯:代碼衛士
Kingspan TMS300 CS水箱管理系統通過屏幕、web服務器、應用程序、在線門戶或郵件提供水箱級別信息,提供有線和無線的多任務 級別測量、報警和互聯網或本地網絡連接。
CISA 發布安全公告指出,安全研究員 Maxim Rupp 發現該產品受一個嚴重漏洞影響。而該漏洞是由缺乏正確執行的訪問控制規則造成的,可導致未認證攻擊者查看或修改設備設置。
該研究員發現,攻擊者可在無需認證的情況下訪問設備設置,僅需導航至特定的URL即可。攻擊者可通過瀏覽web接口或通過暴力攻擊識別出這些URL。
這些設備可配置為從互聯網訪問。Rupp解釋稱,只要攻擊者能夠訪問設備的web接口,就能利用該漏洞。從產品文檔來看,Rupp指出攻擊者在利用該漏洞後可修改多種設置,包括與傳感器、水箱詳情和報警閾值相關的設置。遭暴露的設置似乎可導致黑客對目標組織機構造成破壞。
CISA指出,受影響產品用於全球水和廢水系統行業,並指出該漏洞仍未修復。CISA表示,「Kingspan 公司並未就與CISA一起緩解漏洞的請求做出回應。受影響產品的用戶可聯繫Kingspan 客戶支持,獲取更多信息。」
Kingspan 公司尚未就此事置評。
CISA提供了一些與類似漏洞風險相關的通用防禦措施。
https://www.securityweek.com/water-tank-management-system-used-worldwide-has-unpatched-security-hole
題圖:Pixabay License
本文由奇安信編譯,不代表奇安信觀點。轉載請註明「轉自奇安信代碼衛士 https://codesafe.qianxin.com」。
奇安信代碼衛士 (codesafe)
國內首個專注於軟件開發安全的產品線。
覺得不錯,就點個「在看」 或 "贊」 吧~
留言列表