05 октября 2018
Критические уязвимости в преобразователях Entes EMG 12
В преобразователях протоколов серии EMG 12 производства компании Entes обнаружены критические уязвимости. Успешная эксплуатация этих уязвимостей может позволить атакующим получить несанкционированный доступ к устройству, а также изменить его конфигурацию и настройки.
Уязвимости связаны с проблемами безопасности в веб-интерфейсе устройств EMG12 Ethernet Modbus Gateway с прошивкой версии 2.57 и предыдущих версий.
Первая уязвимость CVE-2018-14826 вызвана некорректной реализацией механизма аутентификации. Используя эту уязвимость, с помощью специально созданного URL-адреса злоумышленник может обойти аутентификацию в веб-интерфейсе устройства, что может привести к удаленному выполнению произвольного кода.
Вторая уязвимость CVE-2018-14822 также позволяет злоумышленнику выполнить произвольный код, выдав себя за легитимного пользователя. Эта уязвимость связана с раскрытием информации через строку запроса в веб-интерфейсе.
Указанные проблемы получили оценки 9,8 и 9,1 балла по шкале CVSS, соответственно.
Для устранения уязвимостей производитель рекомендует обновить прошивку устройств до новейшей версии.
Источник: ICS-CERT