با کشف آسیبپذیری حیاتی در مترهای هوشمند زیمنس، یک وصله برای آن منتشر شد تا جلوی دور زدن اعتبارسنجیها توسط مهاجمان راه دور را بگیرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، زیمنس یک بهروزرسانی ثابتافزار برای مترهای هوشمند ۷KT PAC۱۲۰۰ منتشر کرد تا یک آسیبپذیری حیاتی را وصله کند که میتواند به مهاجمان راه دور اجازه دهد تا اعتبارسنجی را دور بزنند و اقدامات مدیریتی در دستگاه انجام دهند. دستگاههای اندازهگیری چندکاره ۷KT PAC۱۲۰۰ زیمنس، بخشی از سهام مدیریت انرژی SENTRON، طراحی شده تا مشتریان بتوانند بر مصرف انرژی نظارت کنند. این محصول از حسگرها استفاده میکند تا دادههایی را جمع کند که میتوانند در یک مرورگر وب رومیزی یا برنامههای کاربردی تلفن همراه اندروید یا iOS مشاهده شوند.
محقق ماکسیم رپ، کشف کرد که کارگزار وب یکپارچهشده این محصول که در درگاه ۸۰ پروتکل TCP قابلدسترس است، دارای یک آسیبپذیری است که به مهاجمان راه دور اجازه میدهد تا اعتبارسنجی را با استفاده از مسیر یا کانال فرعی دور بزنند. یک مهاجم میتواند از این حفره امنیتی بهرهبرداری کند تا به رابط وب دسترسی پیدا کرده و عملیات اداری انجام دهد. این رابط وب به کاربران اجازه میدهد تا آمار مصرف انرژی خود را برای یک دوره خاص به دست آورند و اگر بیشتر از بودجه اختصاصیافته مصرف کردهاند، متوجه شوند و تنظیمات مربوط به دستگاه، شبکه، ثابتافزار، حسگرها و پروتکل Modbus را تغییر دهند.
آسیبپذیری کشفشده توسط رپ با شناسه CVE-۲۰۱۷-۹۹۴۴ ردیابی شده و امتیاز CVSS آن ۹٫۸ تعیین شد، این آسیبپذیری روی مدیر داده ۷KT PAC۱۲۰۰ که یک نسخه از ثابتافزار قبل از ۲.۰۳ را اجرا میکند، تاثیر میگذارد. زیمنس توصیه کردهاست تا مشتریان محصولات خود را به نسخه ۲.۰۳ بهروزرسانی کرده و دسترسی شبکه به کارگزار وب را ایمن کنند. اعضای صنعت امنیت اطلاعات، اغلب در سالهای گذشته دربارهی خطرات ناشی از مترهای هوشمند آسیبپذیر هشدار دادهاند.
سال گذشته، پس از اینکه یک محقق تصمیم گرفت تا چند آسیبپذیری را افشا کند که توانسنجهای FENIKS PRO و Schneider Electric را تحتتاثیر قرار میداد، ICS-CERT یک هشدار امنیتی صادر کرد.
اخیرا یک محقق هشدار دادهبود که مترهای هوشمند همچنان تسهیلات الکتریکی و دادههای مشتریان را در اختیار مهاجمان سایبری قرار میدهند و حتی ادعا کرد که عاملان مخرب ممکن است قادر شوند تا از دستگاهها بهرهبرداری کنند. با این حال، برخی از محققان این ادعاها را زیر سوال بردند.