全球都在用的水箱管理系统存在0day漏洞

admin 2022年10月1日20:57:39安全新闻评论25 views1058字阅读3分31秒阅读模式

全球都在用的水箱管理系统存在0day漏洞 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


爱尔兰Kingspan 公司制造的 Kingspan TMS300 CS水箱管理系统中存在一个可遭远程利用的严重漏洞(CVE-2022-2757,CVSS评分9.8),但厂商似乎并不愿意修复。该系统的用户遍布全球。

Kingspan TMS300 CS水箱管理系统通过屏幕、web服务器、应用程序、在线门户或邮件提供水箱级别信息,提供有线和无线的多任务 级别测量、报警和互联网或本地网络连接。

CISA 发布安全公告指出,安全研究员 Maxim Rupp 发现该产品受一个严重漏洞影响。而该漏洞是由缺乏正确执行的访问控制规则造成的,可导致未认证攻击者查看或修改设备设置。

该研究员发现,攻击者可在无需认证的情况下访问设备设置,仅需导航至特定的URL即可。攻击者可通过浏览web接口或通过暴力攻击识别出这些URL。

这些设备可配置为从互联网访问。Rupp解释称,只要攻击者能够访问设备的web接口,就能利用该漏洞。从产品文档来看,Rupp指出攻击者在利用该漏洞后可修改多种设置,包括与传感器、水箱详情和报警阈值相关的设置。遭暴露的设置似乎可导致黑客对目标组织机构造成破坏。

CISA指出,受影响产品用于全球水和废水系统行业,并指出该漏洞仍未修复。CISA表示,“Kingspan 公司并未就与CISA一起缓解漏洞的请求做出回应。受影响产品的用户可联系Kingspan 客户支持,获取更多信息。”

Kingspan 公司尚未就此事置评。

CISA提供了一些与类似漏洞风险相关的通用防御措施。


代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com









推荐阅读

黑客恶意修改化学成分参数,远程投毒饮用水
以色列再生水库疑遭伊朗黑客攻击
美国政府斥资4500万美元保护水坝免受网络攻击



原文链接

https://www.securityweek.com/water-tank-management-system-used-worldwide-has-unpatched-security-hole


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




全球都在用的水箱管理系统存在0day漏洞
全球都在用的水箱管理系统存在0day漏洞

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   全球都在用的水箱管理系统存在0day漏洞 觉得不错,就点个 “在看” 或 "” 吧~

原文始发于微信公众号(代码卫士):全球都在用的水箱管理系统存在0day漏洞

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月1日20:57:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  全球都在用的水箱管理系统存在0day漏洞 http://cn-sec.com/archives/1306069.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: