`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Промышленные IP-шлюзы Advantech полностью открыты для кибератак

0 
 
Промышленные IP-шлюзы Advantech полностью открыты для кибератак

Когда в октябре тайваньская фирма Advantech исправила прошивку некоторых своих шлюзов для подключения через последовательный порт к IP-сетям, убрав закодированный в ней ключ SSH (Secure Shell), предоставлявший возможность удалённого неавторизованного доступа к устройству, она не заметила гораздо более серьёзной проблемы с безопасностью.

В уже обновлённой прошивке (версия 1.98) для модели Advantech EKI-1322 исследователи из фирмы Rapid7 нашли уязвимость, позволяющую любым паролем разблокировать этот шлюз, служащий для подключения к сотовым сетям промышленных устройств, оснащённых устаревшими последовательными или Ethernet- портами.

В состав указанного микропрограммного обеспечения входит SSH-сервер с открытым кодом Dropbear. Он был значительно модифицирован, в результате чего, по информации Rapid7, больше не требует аутентификации, то есть любой пользователь может подключиться к нему с произвольными публичным ключом и паролем.

Кроме того, по мнению исследователей, возможно наличие в коде ещё одного эккаунта со встроенным паролем для служебного пользования, помимо ранее обнаруженного и удалённого ключа SSH.

Новая проблема была устранена в версии 2.00 прошивки для EKI-1322, выпущенной 30 декабря, и администраторам таких устройств рекомендуется обновить встроенное ПО как можно быстрее.

Кроме того, эксперты Rapid7 не без основания подозревают, что такой же дефект, позволяющий обойти процедуру аутентификации, может присутствовать во всех остальных шлюзах Advantech EKI, а не только в протестированной ими модели EKI-1322.


Вы можете подписаться на наш Telegram-канал для получения наиболее интересной информации

0 
 

Напечатать Отправить другу

Читайте также

 

Slack подает жалобу на Microsoft и требует антимонопольного расследования от ЕС

 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT