Siemens выпустила исправления безопасности для продуктов Building Automation

Siemens выпустила исправления безопасности для продуктов Building Automation

Обновление исправляет уязвимость, позволяющую осуществить XSS-атаку.

Компания Siemens выпустила исправления прошивки для ряда продуктов серии Building Automation. В обновлениях устранена уязвимость, позволяющая осуществить отраженную XSS-атаку на целевую систему.

Ошибка затрагивает web-сервер OZW, интегрированный в систему автоматизации для зданий Synco и прочие продукты для удаленного мониторинга и управления устройствами-контролерами.

Уязвимость получила идентификатор CVE-2016-1488 . Ошибка затрагивает коммуникационные модули OZW672 и OZW772 под управлением прошивки версий до 6.00. Злоумышленник может проэксплуатировать уязвимость, вынудив пользователя перейти по специально сформированной ссылке.

Ошибку обнаружил исследователь безопасности Адитья Суд (Aditya Sood). По словам эксперта, уязвимость затрагивает страницу авторизации встроенных в модули OZW672 и OZW772 web-серверов. Эксплуатация ошибки позволит злоумышленнику перенаправить жертв на фишинговые сайты, похитить данные или загрузить вредоносное ПО на устройства.

Эксперт отметил возможность осуществления целевых атак на пользователей SCADA-систем. По мнению специалиста, злоумышленнику не составит труда вынудить жертву перейти по специально сформированной ссылке на вредоносный web-сайт, где и будет осуществлена атака.

Производитель устранил уязвимость в версии прошивки 6.00. Всем пользователям настоятельно рекомендуется установить обновление для предотвращения возможности эксплуатации проблемы. В качестве дополнительной меры безопасности Siemens советует ограничить доступ к сети всем устройствам, использующим коммуникационные модули OZW672 и OZW772.

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.