В устройствах Mitsubishi Electric и Grundfos обнаружены опасные уязвимости

В устройствах Mitsubishi Electric и Grundfos обнаружены опасные уязвимости

Эксплуатация проблем позволяет взломать устройство, удаленно выполнить код или осуществить DoS-атаку.

image

В панелях оператора серии GOT2000 от компании Mitsubishi Electric обнаружены опасные уязвимости , две из которых являются критическими. Проблемы затрагивают модели GT27, GT25 и GT23.

Две обнаруженные уязвимости являются критическими (CVE-2020-5598 и CVE-2020-5595) и получили оценку в 9,8 балла по шкале CVSS v3. Первая проблема может позволить авторизованному злоумышленнику получить доступ к конфиденциальным ресурсам, вызвать состояние отказа в обслуживании системы или вызвать сбой в работе устройства. Эксплуатация второй проблемы может позволить злоумышленнику взломать устройство и удаленно выполнить код.

Эксплуатация других проблем может позволить осуществить DoS-атаку на TCP-соединение (CVE-2020-5596), вызвать состояние отказа в обслуживании устройства (CVE-2020-5597 и CVE-2020-5599) или получить доступ к конфиденциальной информации (CVE-2020-5600).

Компания Mitsubishi рекомендует пользователям уязвимых устройств обновить операционную систему CoreOS до последней версии.

В устройстве сопряжения Grundfos CIM 500 для передачи данных между промышленной сетью Ethernet и насосом Grundfos были обнаружены две опасные уязвимости .

Эксплуатация первой проблемы (CVE-2020-10605) позволяет злоумышленнику отправлять на устройство неаутентифицированные запросы на файлы для хранения паролей. Вторая проблема (CVE-2020-10609) связана с тем, что уязвимое устройство хранит учетные данные в незашифрованном виде, позволяя любому пользователю с доступом к устройству читать конфиденциальную информацию или изменять настройки системы.

Обе проблемы получили оценку в 7,5 балла по шкале CVSS v3 и затрагивают все версии Grundfos CIM 500 старше 06.16.00.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.