دوشنبه, 17 مهر 1396 ساعت 10:16

کشف آسیب‌پذیری حیاتی در مترهای هوشمند زیمنس

این مورد را ارزیابی کنید
(0 رای‌ها)
زیمنس یک به‌روزرسانی ثابت‌افزار برای مترهای هوشمند ۷KT PAC۱۲۰۰ منتشر کرده تا یک آسیب‌پذیری حیاتی را وصله کند که می‌تواند به مهاجمان راه دور اجازه دهد تا اعتبارسنجی را دور بزنند و اقدامات مدیریتی در دستگاه انجام دهند.
دستگاه‌های اندازه‌گیری چندکاره‌ی ۷KT PAC۱۲۰۰ زیمنس، بخشی از سهام مدیریت انرژی SENTRON، طراحی شده تا مشتریان بتوانند بر مصرف انرژی نظارت کنند. این محصول از حسگرها استفاده می‌کند تا داده‌هایی را جمع کند که می‌توانند در یک مرورگر وب رومیزی یا برنامه‌های کاربردی تلفن همراه اندروید یا iOS مشاهده شوند.
محقق ماکسیم رپ، کشف کرد که کارگزار وب یکپارچه‎شده‌ی این محصول که در درگاه  ۸۰  پروتکل TCP قابل‌دسترس است، دارای یک آسیب‌پذیری است که به مهاجمان راه دور اجازه می‌دهد تا اعتبارسنجی را با استفاده از مسیر یا کانال فرعی دور بزنند. یک مهاجم می‌تواند از این حفره‌ی امنیتی بهره‌برداری کند تا به رابط وب دسترسی پیدا کرده و عملیات اداری انجام دهد. این رابط وب به کاربران اجازه می‌دهد تا آمار مصرف انرژی خود برای یک دوره‌ی خاص را به‌ دست آورند و اگر بیشتر از بودجه‌ی اختصاص‌یافته مصرف‌ کرده‌اند، متوجه شوند و تنظیمات مربوط به دستگاه، شبکه، ثابت‌افزار، حسگرها و پروتکل Modbus را تغییر دهند.
آسیب‌پذیری کشف‌شده توسط رپ، با شناسه‌ی CVE-۲۰۱۷-۹۹۴۴ ردیابی شده و امتیاز CVSS آن ۹٫۸ تعیین شد، این آسیب‌پذیری روی مدیر داده‌ی ۷KT PAC۱۲۰۰ که یک نسخه از ثابت‌افزار قبل از ۲.۰۳ را اجرا می‌کند، تاثیر می‌گذارد. زیمنس توصیه کرده است تا مشتریان محصولات خود را به نسخه‌ی ۲.۰۳ به‌روزرسانی کرده و دسترسی شبکه به کارگزار وب را ایمن کنند. اعضای صنعت امنیت اطلاعات، اغلب در سال‌های گذشته درباره‌ی خطرات ناشی از مترهای هوشمند آسیب‌پذیر هشدار داده‌اند.
سال گذشته، پس از این‌که یک محقق تصمیم گرفت تا چند آسیب‌پذیری که توان‌سنج‌های FENIKS PRO و Schneider Electric را تحت‌تاثیر قرار می‌داد را افشاء کند، ICS-CERT یک هشدار امنیتی صادر کرد. اخیرا یک محقق هشدار داده است که مترهای هوشمند همچنان تسهیلات الکتریکی و داده‌های مشتریان را در اختیار مهاجمان سایبری قرار می‌دهند، و حتی ادعا کرد که عاملان مخرب ممکن است قادر شوند تا از دستگاه‌ها بهره‌برداری کنند. با این حال، برخی از محققان این ادعاها را زیر سوال بردند.

منبع: news.asis.io

نظر دادن

از پر شدن تمامی موارد الزامی ستاره‌دار (*) اطمینان حاصل کنید. کد HTML مجاز نیست.

تماس با ما

02188101650-02188101653-02188101654
info@saela-electronics.com

عضویت در خبرنامه