今日頭條
官方微信
官方抖音
資訊頻道小編來報:一家德國的油罐測量系統制造商的部分產品存在嚴重漏洞,黑客易訪問基于web的配置界面。
據外媒報道,Tecson/GOK的油罐監控設備中存在一個嚴重的漏洞,供應商已經發布了補丁,并指出受影響的設備不足1000臺。Tecson是一家德國的油罐測量系統制造商,產品有油罐顯示器、液位探頭和遠程監控等。
安全研究員Maxim Rupp發現,一些Tecson設備受到一個漏洞的影響,該漏洞允許攻擊者在不需要憑證的情況下訪問基于web的配置界面。攻擊者只需要知道web服務器上的特定URL和有效請求的格式,就可以訪問配置接口并查看和修改設置。黑客可完全訪問設備的基于web的配置界面,如密碼、報警參數和輸出狀態等設置。這可能會對設備的運行產生負面影響,有助于黑客進一步攻擊工業控制過程。
漏洞為CVE-2019-12254,CVSS評分9.8,影響LX-Net、LX-Q-Net、e-litro net、SmartBox4 LAN和SmartBox4 pro LAN油罐監控產品。固件版本6.3解決了這個安全漏洞,另外,可以通過禁用端口轉發和遠程訪問設備來防止攻擊。
Rupp表示,在得知漏洞存在后,供應商花了大約一個月時間修復了該漏洞。雖然有一些設備暴露在互聯網上,但這些系統通常只能通過本地網絡訪問。Tecson表示,受影響的產品主要部署在德國,奧地利和比利時的組織使用率不到5%。
來源:E安全
北京市公安局海淀分局備案號:11010802023656號