6月13日訊 德國安全公司 ERNW 的研究人員發現,瑞士工業技術公司 ABB 的門禁通信系統中存在多個嚴重漏洞。
影響范圍
易遭受攻擊的產品為ABB IP 網關(同時也以 Busch-Jaeger 品牌銷售),它是 ABB 門禁通信解決方案的一個組件。此類解決方案包括音頻和視頻對講機、指紋讀取器等。
ABB 在近期發布的安全公告中表示,運行固件版本 3.39 和更早版本的 IP 網關中存在幾個潛在的嚴重漏洞。
IP 網關的主要作用是為對講機、本地網絡和可用于遠程監控和控制系統的移動應用程序提供連接。
存在遠程代碼注入等多個漏洞
研究人員發現的其中一個漏洞為遠程代碼注入漏洞,允許訪問本地網絡的攻擊者控制目標設備。該漏洞影響本地配置 Web 服務器,攻擊者可向系統發送特制的信息利用該漏洞。
一、不正確的身份驗證漏洞(CVE-2017-7931)
允許攻擊者繞過身份驗證,訪問配置文件和 Web 服務器上的頁面。
二、明文存儲密碼漏洞(CVE-2017-7933)
攻擊者成功登錄后可從用戶的瀏覽器cookie中獲取管理員密碼,但前提是,攻擊者必須首先攻擊客戶端系統,以成功提取明文密碼 cookie。
三、跨站請求偽造漏洞(CVE-2017-7906)
允許攻擊者以合法用戶的身份執行多種操作。
這些攻擊可遠程實現,但通常都要求用戶交互,例如點擊鏈接、訪問惡意網頁等。
ABB 表示,目前尚未發現這些漏洞遭利用的情況,且目前尚未公開漏洞詳情。
已發布固件更新
ABB 公司已發布固件版本 3.40 修復了這些漏洞,并提供了一些解決方案緩解攻擊威脅,其中最重要的建議是,希望用戶確保 Web 服務器無法直接通過互聯網訪問。
-
通信系統
+關注
關注
6文章
1187瀏覽量
53328 -
ABB
+關注
關注
26文章
523瀏覽量
52710
原文標題:瑞士工業技術巨頭ABB門禁通信系統曝嚴重漏洞
文章出處:【微信號:EAQapp,微信公眾號:E安全】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
評論