一家德國的油罐測(cè)量系統(tǒng)制造商的部分產(chǎn)品存在嚴(yán)重漏洞,黑客易訪問基于web的配置界面。
據(jù)外媒報(bào)道,Tecson/GOK的油罐監(jiān)控設(shè)備中存在一個(gè)嚴(yán)重的漏洞,供應(yīng)商已經(jīng)發(fā)布了補(bǔ)丁,并指出受影響的設(shè)備不足1000臺(tái)。Tecson是一家德國的油罐測(cè)量系統(tǒng)制造商,產(chǎn)品有油罐顯示器、液位探頭和遠(yuǎn)程監(jiān)控等。
安全研究員Maxim Rupp發(fā)現(xiàn),一些Tecson設(shè)備受到一個(gè)漏洞的影響,該漏洞允許攻擊者在不需要憑證的情況下訪問基于web的配置界面。攻擊者只需要知道web服務(wù)器上的特定URL和有效請(qǐng)求的格式,就可以訪問配置接口并查看和修改設(shè)置。黑客可完全訪問設(shè)備的基于web的配置界面,如密碼、報(bào)警參數(shù)和輸出狀態(tài)等設(shè)置。這可能會(huì)對(duì)設(shè)備的運(yùn)行產(chǎn)生負(fù)面影響,有助于黑客進(jìn)一步攻擊工業(yè)控制過程。
漏洞為CVE-2019-12254,CVSS評(píng)分9.8,影響LX-Net、LX-Q-Net、e-litro net、SmartBox4 LAN和SmartBox4 pro LAN油罐監(jiān)控產(chǎn)品。固件版本6.3解決了這個(gè)安全漏洞,另外,可以通過禁用端口轉(zhuǎn)發(fā)和遠(yuǎn)程訪問設(shè)備來防止攻擊。
Rupp表示,在得知漏洞存在后,供應(yīng)商花了大約一個(gè)月時(shí)間修復(fù)了該漏洞。雖然有一些設(shè)備暴露在互聯(lián)網(wǎng)上,但這些系統(tǒng)通常只能通過本地網(wǎng)絡(luò)訪問。Tecson表示,受影響的產(chǎn)品主要部署在德國,奧地利和比利時(shí)的組織使用率不到5%。
-
黑客
+關(guān)注
關(guān)注
3文章
284瀏覽量
21862 -
監(jiān)控設(shè)備
+關(guān)注
關(guān)注
0文章
92瀏覽量
12933
原文標(biāo)題:油罐監(jiān)控設(shè)備存在嚴(yán)重漏洞,易受黑客攻擊
文章出處:【微信號(hào):EAQapp,微信公眾號(hào):E安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論