В ПО Emerson OpenEnterprise для SCADA обнаружено несколько уязвимостей

Ср 27 Май 2020 08:56

Специалисты из «Лаборатории Касперского» выявили четыре уязвимости ( CVE-2020-10640, CVE-2020-10632, CVE-2020-10636 и CVE-2020-6970 ) в Emerson OpenEnterprise — решении для диспетчерского управления и сбора данных (SCADA), разработанном для нефтегазовой промышленности.

OpenEnterprise специально разработан для удовлетворения требований организаций, занимающихся добычей, транспортировкой и распределением нефти и газа.

Обнаруженные проблемы представляют собой уязвимости переполнения буфера в куче, отсутствия аутентификации, некорректных прав на управление папкой и ненадежного шифрования.

Две уязвимости (CVE-2020-6970 и CVE-2020-10640) являются критическими, и их эксплуатация позволяет злоумышленнику удаленно выполнить произвольный код с повышенными привилегиями на устройствах под управлением OpenEnterprise.

Остальные уязвимости могут быть использованы для повышения привилегий и похищения паролей учетных записей пользователей OpenEnterprise, однако для эксплуатации проблем требуется локальный доступ к целевой системе.

По результатам поискового запроса Shodan, в настоящее время в Сети нет уязвимых систем SCADA OpenEnterprise. Уязвимости в Emerson OpenEnterprise были обнаружены экспертом Романом Лозько. Он сообщил о своих находках поставщику в декабре 2019 года, но исправления были выпущены лишь спустя несколько месяцев.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 217 дней 19 часов 26 минут 40 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.