В микроконтроллерах ControlWave от Emerson исправлена серьезная уязвимость

В микроконтроллерах ControlWave от Emerson исправлена серьезная уязвимость

Уязвимость позволяла атаковать устройства с открытым портом 20547 и вызывать отказ в обслуживании.  

image

Американский производитель АСУ ТП Emerson исправил опасную уязвимость в своем продукте ControlWave Micro Process Automation Controller, позволявшую вызвать отказ в обслуживании.

ControlWave Micro Process Automation Controller – гибридный удаленный терминал (RTU)/программируемый логический контроллер (ПЛК), широко используемый по всему миру, в основном в электроэнергетических компаниях и на водоочистных станциях. Уязвимость позволяла путем отправки особым образом сконфигурированных пакетов на порт 20547 вызвать переполнение буфера в стеке и тем самым заставить устройство активировать режим останова (режим временного приостановления выполнения процедуры).

Эксплуатация уязвимости могла привести к отключению функционала Ethernet, и для восстановления системы и связанных с ControlWave коммуникаций потребовался бы холодный запуск. В свою очередь, это могло сделать систему непригодной к дальнейшему использованию и привести к сбою в подключении других устройств.

Атаки с эксплуатацией уязвимости возможны через интернет на оборудование с открытым портом 20547. Поисковая система Shodan выдает 163 потенциально уязвимых устройств, доступных через Сеть. Большая их часть находится в США, Канаде и Мексике.

Уязвимость, получившая идентификатор CVE-2018-5452, затрагивает продукты с версией прошивки 05.78.00 и более ранними. Проблема исправлена в версии 05.79.00. Производитель узнал о наличии уязвимости в октябре прошлого года и выпустил обновление спустя два месяца.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle