Перейти к содержанию

В ПО Emerson OpenEnterprise для SCADA обнаружено несколько уязвимостей

Материал из Викиновостей, свободного источника новостей

27 мая 2020 года

Специалисты из «Лаборатории Касперского» выявили четыре уязвимости ( CVE-2020-10640, CVE-2020-10632, CVE-2020-10636 и CVE-2020-6970 ) в Emerson OpenEnterprise — решении для диспетчерского управления и сбора данных (SCADA), разработанном для нефтегазовой промышленности.

OpenEnterprise специально разработан для удовлетворения требований организаций, занимающихся добычей, транспортировкой и распределением нефти и газа.

Обнаруженные проблемы представляют собой уязвимости переполнения буфера в куче, отсутствия аутентификации, некорректных прав на управление папкой и ненадежного шифрования.

Две уязвимости (CVE-2020-6970 и CVE-2020-10640) являются критическими, и их эксплуатация позволяет злоумышленнику удаленно выполнить произвольный код с повышенными привилегиями на устройствах под управлением OpenEnterprise.

Остальные уязвимости могут быть использованы для повышения привилегий и похищения паролей учетных записей пользователей OpenEnterprise, однако для эксплуатации проблем требуется локальный доступ к целевой системе.

По результатам поискового запроса Shodan, в настоящее время в Сети нет уязвимых систем SCADA OpenEnterprise. Уязвимости в Emerson OpenEnterprise были обнаружены экспертом Романом Лозько. Он сообщил о своих находках поставщику в декабре 2019 года, но исправления были выпущены лишь спустя несколько месяцев.

Источники

[править]
Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.