Хакер #305. Многошаговые SQL-инъекции
Специалисты из подразделения CFTS (Customer Fulfillment Technology Security) компании Amazon обнаружили серьезную проблему в контроллерах производства немецкой компании SICK. Данное оборудование широко используется во всем мире, в том числе в критических областях промышленного сектора.
Критическая уязвимость получила идентификатор CVE-2019-10979 и была найдена в контроллерах модульной системы MSC800. Дело в том, что во встроенном ПО контроллеров обнаружились жестко закодированные учетные данные, что позволяет атакующей стороне удаленно изменить настройки устройства или нарушить его работу. Хуже того, для реализации такой атаки не нужно обладать глубокими познаниями и серьезной квалификацией.
Инженеры SICK сообщили, что им неизвестно о случаях эксплуатации данной уязвимости злоумышленниками.
Разработчики уже выпустили обновленную версию прошивки (4.0), которая устраняет проблему: позволяет администратору изменять пароль по умолчанию, а также позволяет запретить настройку девайса через сетевые интерфейсы.
Так как проблема оценивается в 9,8 балла из 10 возможных по шкале CVSS v3, разработчики рекомендуют как можно быстрее обновить ПО контроллеров до безопасной версии 4.0.