Уязвимость в контроллерах позволяет захватить контроль над строительными кранами Telecrane

Компьютерная команда экстренной готовности США (US-CERT) рекомендовала операторам строительных кранов Telecrane обновить систему управления.

Согласно уведомлению US-CERT, в серии контроллеров Telecrane F25 обнаружена уязвимость ( CVE-2018-17935 ), позволяющая находящемуся поблизости злоумышленнику взломать систему управления краном и удаленно управлять им с земли.

С помощью уязвимости в прошивке F25 злоумышленник может осуществить атаку повторного воспроизведения – перехватить передающийся между краном и контроллером радиосигнал и отправлять свои собственные команды для управления краном.

Как поясняет US-CERT, в Telecrane используются фиксированные коды, которые можно воспроизвести с помощью перехвата и ретрансляции. Таким образом, неавторизованный атакующий может повторно воспроизводить команды, осуществлять спуфинг произвольных сообщений или держать контроллер загружающимся в бесконечном состоянии «стоп».

Проблема затрагивает версии F25 до 00.0A (в 00.0A уязвимость была исправлена). По системе оценивания опасности уязвимость получила 7,6 балла из максимальных десяти. Для ее эксплуатации особые навыки не требуются.