В Siemens Automation License Manager исправлены опасные уязвимости
Компания Siemens исправила в своем менеджере автоматизации лицензий Automation License Manager две опасные уязвимости.
CVE-2018-11455 представляет собой уязвимость обхода каталога. С ее помощью злоумышленник может удаленно перемещать произвольные файлы и в результате скомпрометировать систему путем выполнения кода. Условием для осуществления атаки является наличие сетевого подключения к атакуемому устройству. Какие-либо особые привилегии или условия не требуются. Атака возможна только с участием пользователя. По системе оценки опасности CVSS v3 уязвимость получила 8,8 балла из максимальных 10.
С помощью CVE-2018-11455 атакующий может через компьютер жертвы выполнить базовое сканирование сети. Отправив особым образом сконфигурированные сетевые пакеты, хакер способен определить наличие открытых сетевых портов на другой удаленной системе.
Для эксплуатации уязвимости атакуемое устройство должно быть подключено к сети. Ни повышенные привилегии, ни участие пользователя не требуется. По системе оценки опасности CVSS v3 уязвимость получила 5,3 балла из максимальных 10.
Проблема затрагивает следующие продукты:
Automation License Manager 5: все версти до 5.3.4.4;
Automation License Manager 6: все версии до 6.0.1 (только CVE-2018-11455).
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш