В продуктах Siemens RUGGEDCOM обнаружены множественные уязвимости

image

Теги: Siemens, уязвимость, NTP

Уязвимости вызваны использованием устаревшей версии протокола NTP.

Промышленные устройства Siemens RUGGEDCOM оказались подвержены множественным уязвимостям, существующим из-за использования устаревшей версии ntpd.

Уязвимостям подвержены все устройства под управлением операционных систем ROX I (все версии) и ROX II (до версии 2.9.0). Успешная эксплуатация требует использования NTP с ресурса ntp.org для синхронизации времени.

Одна из уязвимостей (CVE-2015-7871) позволяет удаленному пользователю обойти аутентификацию. Отправив специально сформированные пакеты UDP, злоумышленник вынудит демон NTPпринимать обновления времени со сторонних серверов. Другая ошибка (CVE-2015-7855) позволяет вызвать аварийное завершение работы ntpd путем отправки специально сформированных пакетов NTP.

В устройствах RUGGEDCOM также обнаружены две уязвимости, позволяющие модифицировать дату и время (CVE-2015-7704), а также предотвратить получение корректного времени (CVE-2015-5300). Операционная система ROX II также была подвержена уязвимости POODLE.

Для устройств под управлением ОС ROX II было выпущено исправление, устраняющее вышеуказанные ошибки.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.