زیمنس حفرههای امنیتی را در کنترلکنندههای خودکارسازی ساختمانی وصله کرد.
منبع : وبگاه اخبار امنیتی فنآوری اطلاعات و ارتباطات
زیمنس حفرههای امنیتی را در کنترلکنندههای خودکارسازی ساختمانی وصله کرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، زیمنس بهروزرسانی ثابتافزار را برای محصولات خودکارسازی ساختمانی BACnet Field Panel خود به منظور رفع دو آسیبپذیری که در یک طبقهبندی با شدت بالا قرار دارند، منتشر کرد. ظاهرا حفرههای امنیتی، توسط خود زیمنس کشف شدند و این حفرهها، کنترلکنندههای خودکارسازی APOGEE PXC و TALON TC BACnet را که نسخه قدیمیتر از نسخه ۳٫۵ ثابتافزار را اجرا میکنند، تحتتاثیر قرار میدهد. دستگاههای آسیبدیده در سراسر جهان در تجهیزات تجاری استفادهمیشود تا طیف گستردهای از تجهیزات گرمایشی، تهویه و تهویه مطبوع را کنترل کند.
محصولات BACnet Field Panel یک سرویس وب و یک رابط کاربری ارائه میدهد که به اپراتورها اجازه میدهد تا بهراحتی کنترلکنندههای خودکارسازی را پیکربندی، نظارت و کنترل کنند. یکی از مشکلاتی که زیمنس در این محصولات کشف کرد این است که سازوکار تایید هویت را میتوان دور زد و مهاجم میتواند اطلاعات حساسی را از یک دستگاه بارگیری کند. با این حال، مالک این محصولات اشاره کردهاست که مهاجم به دسترسی شبکه به کارگزار وب، که با درگاههای ۸۰ و ۴۴۳ TCP قابل دسترس است، نیاز دارد تا از این حفره امنیتی بهرهبرداری کند.
این آسیبپذیری با شناسه CVE-۲۰۱۷-۹۹۴۶ ردیابی میشود و در شدت بالاتر با امتیاز ۷٫۵ در نمرهدهی CVSS در نظر گرفتهمیشود. آسیبپذیری دوم که با شناسه CVE-۲۰۱۷-۹۹۴۷ و با درجه شدت متوسط ردیابی میشود یک مشکل پیمایش مسیر است که به مهاجم اجازه میدهد تا اطلاعاتی در مورد ساختار سامانه پرونده در دستگاههای آسیبدیده به دست آورد. این آسیبپذیری نیز به دسترسی شبکه به کارگزار وب برای بهرهبرداری نیاز دارد.
با اینکه زیمنس مشخص نکردهاست که چه نوع اطلاعاتی افشا شدهاست، اما این نوع آسیبپذیریها اغلب به مهاجمان اجازه میدهد تا اطلاعاتی به دست آورند که به آنها کمک میکند حملات بیشتری روی سامانه انجام دهند. زیمنس با انتشار نسخه ۳٫۵ ثابتافزار برای ماژولهای پیشرفته BACnet Field Panel، حفرههای امنیتی را برطرف کرد.
به سازمانهای آسیبدیده توصیه شدهاست که برای کسب اطلاعات در مورد چگونگی دستیابی به وصله منتشرشده با مرکز خدمات محلی خود تماس بگیرند.