Критические уязвимости в преобразователях Entes EMG 12

В преобразователях протоколов серии EMG 12 производства компании Entes обнаружены критические уязвимости. Успешная эксплуатация этих уязвимостей может позволить атакующим получить несанкционированный доступ к устройству, а также изменить его конфигурацию и настройки.

Уязвимости связаны с проблемами безопасности в веб-интерфейсе устройств EMG12 Ethernet Modbus Gateway с прошивкой версии 2.57 и предыдущих версий.

Первая уязвимость CVE-2018-14826 вызвана некорректной реализацией механизма аутентификации. Используя эту уязвимость, с помощью специально созданного URL-адреса злоумышленник может обойти аутентификацию в веб-интерфейсе устройства, что может привести к удаленному выполнению произвольного кода.

Вторая уязвимость CVE-2018-14822 также позволяет злоумышленнику выполнить произвольный код, выдав себя за легитимного пользователя. Эта уязвимость связана с раскрытием информации через строку запроса в веб-интерфейсе.

Указанные проблемы получили оценки 9,8 и 9,1 балла по шкале CVSS, соответственно.

Для устранения уязвимостей производитель рекомендует обновить прошивку устройств до новейшей версии.

Источник: ICS-CERT