В Moxa ThingsPro Suite обнаружены семь уязвимостей

В IIoT-шлюзе и менеджере устройств ThingsPro Suite производства компании Moxa обнаружены проблемы с безопасностью.

Как сообщают специалисты Центра реагирования на инциденты информационной безопасности промышленных инфраструктур «Лаборатории Касперского» (Kaspersky Lab ICS CERT), по результатам двухнедельного исследования им удалось выявить семь уязвимостей, в том числе критических. Совместная эксплуатация уязвимостей позволяет неавторизованному злоумышленнику удаленно получить полный контроль над устройством и повысить свои привилегии до максимальных.

CVE-2018-18390: Позволяет осуществить атаку user enumeration и методом перебора получить список имен пользователей.

CVE-2018-18391: Позволяет повысить привилегии.

CVE-2018-18392: Недостаток контроля доступа.

CVE-2018-18393: При смене пароля сервер не запрашивает старый пароль.

CVE-2018-18394: Чувствительная информация хранится в незашифрованном виде.

CVE-2018-18395: Позволяет повысить привилегии (10 баллов по шкале опасности уязвимостей CVSS).

CVE-2018-18396: Позволяет удаленно выполнить код (10 баллов по шкале опасности уязвимостей CVSS).

Эксплуатация уязвимостей возможна только в случае, если у атакующего есть возможность отправлять запросы web-серверу ThingsPro Suite и получать от него ответы. Другими словами, атака возможна, если у злоумышленника есть доступ к панели администрирования устройства.

Moxa выпустила новую версию ThingsPro Suite 2.3, где все вышеупомянутые уязвимости были исправлены.