Moxa ThingsPro Suite’da yettita zaiflik aniqlandi
Zaifliklardan birgalikda foydalanish qurilmani masofadan turib to’liq boshqarish imkonini beradi.
Moxa’ning ThingsPro Suite IIoT shlyuzi va qurilmalar menejerida xavfsizlik zaifliklari aniqlandi. Kaspersky Lab’ning Sanoat nazorati tizimlari kiberfavqulodda vaziyatlarga javob berish guruhi (Kaspersky Lab ICS CERT) mutaxassislarining soʻzlariga koʻra, ikki haftalik tekshiruvdan soʻng ular yettita zaiflikni, jumladan, muhim zaifliklarni aniqladilar. Ushbu zaifliklar birgalikda foydalanilganda, ruxsatsiz tajovuzkorga qurilmani masofadan turib toʻliq nazorat qilish va oʻz huquqlarini maksimal darajaga koʻtarish imkonini beradi.
CVE-2018-18390: Foydalanuvchilarni ro’yxatga olish hujumiga foydalanuvchi nomlari ro’yxatini qo’pol ravishda majburlash imkonini beradi.
CVE-2018-18391: Imtiyozlarning oshishi bilan bog’liq zaiflik.
CVE-2018-18392: Kirishni boshqarishdagi nosozlik.
CVE-2018-18393: Parolni o’zgartirganda, server eski parolni so’ramaydi.
CVE-2018-18394: Maxfiy ma’lumotlar shifrlanmagan holda saqlanadi.
CVE-2018-18395: Imtiyozlarning oshishi zaifligi (CVSS jiddiylik balli 10).
CVE-2018-18396: Masofaviy kodni bajarishdagi zaiflik (CVSS jiddiylik balli 10).
Ushbu zaifliklardan faqat tajovuzkor ThingsPro Suite veb-serveriga so’rovlar yuborish va javoblar olish imkoniyatiga ega bo’lgandagina foydalanish mumkin. Boshqacha qilib aytganda, agar tajovuzkor qurilmaning boshqaruv paneliga kirish huquqiga ega bo’lsa, hujum mumkin.
Moxa yuqorida aytib o’tilgan barcha zaifliklarni tuzatuvchi ThingsPro Suite 2.3 ning yangi versiyasini chiqazdi.
