Уязвимости в продуктах Pepperl+Fuchs позволяют внедрять бэкдоры

Уязвимости в продуктах Pepperl+Fuchs позволяют внедрять бэкдоры

Проблемы включают подделку межсайтовых запросов, межсайтовый скриптинг, слепое внедрение команд и DoS-уязвимость.

Исследователь безопасности из австрийской компании SEC Consult обнаружил ряд уязвимостей в промышленных шлюзах Pepperl+Fuchs Comtrol IO-Link Master. Эксплуатация уязвимостей позволяет получить корневой доступ к устройству и создавать бэкдоры.

Обнаруженные проблемы представляют собой уязвимости подделки межсайтовых запросов (CVE-2020-12511), межсайтового скриптинга (CVE-2020-12512), слепого внедрения команд (CVE-2020-12513) и вызова состояния «отказа в обслуживании» (CVE-2020-12514). Уязвимые продукты используют устаревшие версии сторонних компонентов, включая PHP, OpenSSL, BusyBox, ядро ​​Linux и lighttpd, которые, как известно, содержат различные проблемы.

По словам эксперта, если злоумышленник получит доступ к одному из уязвимых устройств Comtrol, он сможет выполнить команды на устройстве с привилегиями суперпользователя и внедрить постоянные бэкдоры.

Поставщик исправил уязвимости, обнаруженные SEC Consult, через несколько месяцев после того, как получил уведомление. SEC Consult также опубликовала уведомление безопасности, содержащее PoC-код для эксплуатации каждой из уязвимостей.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!