Ifølge en ny rapport fra Anvendt Risk udført af sikkerhedsekspert Alexander Ariciu, "Flere sårbarheder blev fundet i MOXA E1242 Ethernet remote I / O-serien anvendes i fabrikken automation."Sårbarhederne kan udløse kode injektion i web-applikation, og i andre tilfælde vedrører svage password politikker og implementering. Heldigvis, er der ingen kendte offentlige exploits, der er målrettet disse sårbarheder, forskeren siger.
Hvor alvorlige er de sårbarheder?
Et af de spørgsmål findes i enheder 'webapplikation, der undlader at rense brugerinput. Dette kan føre til JavaScript injektion på websiden. Til sidst, Den udnytter kunne gøre det muligt for en angriber at udføre vilkårlig kode i brugerens browser, når du besøger websiden.
En angriber kan udnytte dette ved at besøge de berørte websider og ændring af parametre, der blev anset for at være sårbare over for dette angreb. Ændringerne i denne parameter er permanente, dermed enhver bruger besøger inficerede webside efter angriberen vil være i fare.
Et andet problem vedrører de passwords som sendes via HTTP GET metoden. Den md5 hash af de beskæftigede til godkendelse på enheden password er sendt som en parameter i hver GET-anmodning til serveren, som menes at være en dårlig praksis. Hvorfor? En hacker kan implementere en MITM angreb og omgå den mekanisme autentificering.
Den adgangskode, der bruges til at godkende brugere til systemet er afkortet til 8 tegn. En bruger forsøger at bruge et længere kodeord vil have sin adgangskode skåret ned til den første 8 tegn. Også, MD5 hash udfordring, der er skabt til godkendelse og senere bruges i alle GET anmodninger vil blive skabt ved hjælp af disse første 8 tegn.
Forskeren tilføjer, at denne adfærd er accepteret som usikker, da det ikke giver tilstrækkelig beskyttelse til de adgangskoder, der bruges af brugeren, og tvinger også brugeren at bruge enkle passwords, der let kan omgås.
Heldigvis, MOXA behandlet de rapporterede sårbarheder ved at frigive en firmwareopdatering til de berørte enheder, tilgængelig her.
Automation Industries Mangler er for det meste Proof-of-Concept
I en samtale med SCMagazine, Mark James fra ESET delt, at en udbredt række af fejl i automatisering industrien er proof of concept.
Automation indebærer ofte tunge udstyr gør præcisionsarbejde, og hvis det mislykkes det kan forårsage tusindvis af pounds af skader. Hvis dette udstyr skulle gå galt omkring eller tæt på mennesker, så er der altid potentiale for skade eller død.