Allen-Bradley PowerMonitor 1000 yechimida jiddiy zaiflik aniqlandi.
Muammo tajovuzkorga autentifikatsiya mexanizmini chetlab o’tib, maqsadli qurilma ustidan nazoratni qo’lga kiritish imkonini beradi.
Rockwell Automation kompaniyasi Allen-Bradley PowerMonitor 1000 energiya o’lchash yechimidagi ikkita zaiflik haqida ogohlantirdi. Ushbu zaifliklar brauzer sessiyasiga o’zboshimchalik bilan kod kiritish yoki autentifikatsiyani chetlab o’tish imkonini beradi, bu esa maqsadli qurilmani boshqarish imkonini beradi. Eng jiddiy zaiflik (CVE-2018-19616) kirish sahifasi manba kodidagi «o’chirilgan» parametr bilan bog’liq bo’lib, u ruxsatsiz foydalanuvchilarning tahrirlash va konfiguratsiya sozlamalari kabi turli funktsiyalarga kirishiga to’sqinlik qiladi. Proksi-server yordamida tajovuzkor ushbu parametrni o’chirib qo’yishi, ushbu funktsiyalarga kirishi va yangi administrator hisobini yaratishi mumkin, bu ularga maqsadli qurilmani to’liq nazorat qilish imkonini beradi. Zaiflik CVSS v3 jiddiylik reytingiga ega, maksimal 10 balldan 9,8 ballni tashkil qiladi.
Ikkinchi muammo (CVE-2018-19615) – bu qurilmada saqlangan ma’lum bir faylga yangi foydalanuvchi qo’shish uchun ishlatilishi mumkin bo’lgan XSS zaifligi. Hujumchi dasturning ma’lumotlar bazasiga zararli kodni kiritishi mumkin, bu esa qonuniy foydalanuvchi hisob ma’lumotlari sahifasini ochganda amalga oshiriladi.
Yuqoridagi zaifliklar Allen-Bradley PowerMonitor 1000 ning barcha versiyalariga ta’sir qiladi. Ishlab chiqaruvchi hozirda muammoni hal qilish uchun yamalar tayyorlamoqda.
