本文主要是介绍未修复漏洞可导致水泵控制器遭远程攻击,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
ProPump and Controls 公司制造的一款水泵系统受多个漏洞影响,可导致黑客引发重大问题。
受影响产品是由该公司制造的 Osprey Pump Controller。该公司位于美国,专注于为大规模应用制造水泵系统和自动化控制,这些应用包括高尔夫球场和草坪灌溉、市政供水和下水道、沼气、农业和工业。
这些漏洞由 Zero Science Lab 公司的创始人兼首席信息安全工程师 Gjoko Krstic 在某客户处评估时发现的,评估过程中涉及真实设备的分析,而不仅仅是像ICS研究那样进行固件镜像分析。
Krstic 尝试将研究成果直接告知并通过CISA和卡耐基梅隆大学的漏洞信息和协调环境中心告知厂商,但该厂商并未进行回应,这些漏洞可能仍然处于未修复状态。
CISA 在3月23日发布公告,说明了 Krstic 在 Osprey Pump Controller 中发现的10个漏洞。Zero Science Lab 还在网站上发布了关于这些漏洞的单独安全公告。
这些漏洞包括远程代码执行漏洞、CSRF、认证绕过、XSS、命令注入、后门访问、文件披露和会话劫持问题。其中很多漏洞可在无需认证的情况下遭利用。Krstic 表示数十个控制器都被暴露在互联网上,包括某个客户的网络遭 Zero Science Lab 访问的情况。攻击者可利用这些漏洞远程入侵系统并完全控制设备,从而可通过DoS 攻击引起服务终端、执行多种恶意活动,具体取决于目标控制器的目的。
Krstic 解释称,“攻击者可访问控制器,并修改压强引发严重后果,控制VFD 或完全切断水供应,具体取决于控制器的适用情况。”
CISA 指出,受影响控制器用于全球多个行业。CISA 建议客户联系厂商获得补丁或缓解措施信息。不过,Zero Science Lab 安全公告指出,CISA 已将该事件设定为“基线-可忽略”登记,意味着它“很有可能不会影响公共健康或安全、国家安全、经济安全、外交关系、公民自由或公众信心”。
黑客攻击水设施的情况并不罕见,美国也不例外。CISA 和其它机构曾在2021年提醒称,勒索软件攻击了位于美国三种水设施的SCADA 系统。几个月后,黑客被指试图投毒美国佛罗里达州的一处供水系统。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
Realtek WiFi SDK 被曝多个漏洞,影响供应链上至少65家厂商近百万台IoT设备
这个 bug 可劫持同一 WiFi 网络上所有的安卓版火狐移动浏览器
1997年起至今的所有 WiFi 设备均易遭 Frag 攻击
原文链接
https://www.securityweek.com/unpatched-security-flaws-expose-water-pump-controllers-to-remote-hacker-attacks/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
这篇关于未修复漏洞可导致水泵控制器遭远程攻击的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
