Уязвимость в контроллерах позволяет захватить контроль над строительными кранами Telecrane

DOMINUS_EDEM

Прошлый ник Khan
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Регистрация
23/1/16
Сообщения
2.067
Репутация
5.626
Реакции
5.872
RUB
0
Депозит
22 000 рублей
Сделок через гаранта
21
С помощью уязвимости неавторизованный атакующий может ретранслировать команды и удаленно управлять краном.

Компьютерная команда экстренной готовности США (US-CERT) рекомендовала операторам строительных кранов Telecrane обновить систему управления.

Согласно уведомлению US-CERT, в серии контроллеров Telecrane F25 обнаружена уязвимость ( CVE-2018-17935 ), позволяющая находящемуся поблизости злоумышленнику взломать систему управления краном и удаленно управлять им с земли.

С помощью уязвимости в прошивке F25 злоумышленник может осуществить атаку повторного воспроизведения – перехватить передающийся между краном и контроллером радиосигнал и отправлять свои собственные команды для управления краном.

Как поясняет US-CERT, в Telecrane используются фиксированные коды, которые можно воспроизвести с помощью перехвата и ретрансляции. Таким образом, неавторизованный атакующий может повторно воспроизводить команды, осуществлять спуфинг произвольных сообщений или держать контроллер загружающимся в бесконечном состоянии «стоп».

Проблема затрагивает версии F25 до 00.0A (в 00.0A уязвимость была исправлена). По системе оценивания опасности уязвимость получила 7,6 балла из максимальных десяти. Для ее эксплуатации особые навыки не требуются.

Подробнее:
 
Сверху Снизу