В ПЛК Schneider Electric обнаружены серьезные уязвимости
Успешная эксплуатация уязвимостей может позволить злоумышленнику получить доступ к службе передачи файлов на устройстве.
В программируемых логических контроллерах (ПЛК) производства Schneider Electric обнаружены 3 опасные уязвимости, совместная эксплуатация которых может позволить злоумышленнику удаленно выполнить произвольный код или установить вредоносное ПО.
Уязвимости затрагивают контроллеры моделей Modicon Premium (все версии), Modicon Quantum (все версии), Modicon M340 (все версии), а также модуль Modicon BMXNOR0200 (все версии).
Уязвимости CVE-2018-7242 и CVE-2018-7240 представляют собой проблемы переполнения буфера и вызваны тем, что FTP-сервер не ограничивает длину параметра команды.
Еще одна уязвимость CVE-2018-7241 заключается в наличии неизменяемых учетных данных, позволяя злоумышленнику получить неавторизованный доступ к устройству.
Успешная эксплуатация вышеописанных уязвимостей может позволить удаленному неавторизованному злоумышленнику получить доступ к службе передачи файлов на устройстве, а затем выполнить произвольный код или установить вредоносное программное обеспечение.
Schneider Electric порекомендовала пользователям отключать FTP-сервисы на устройстве, если они не нужны для настройки или операций по техническому обслуживанию.
Источник:
https://www.securitylab.ru/news/492333.php
Hajime ботнет стал активно искать устройства MikroTik
За последние три дня ботнет провел свыше 860 тыс. сканирований.
Целый ряд исследователей безопасности обнаружили массовое заражение IoT-ботнетом Hajime устройств MikroTik.
Шумиха вокруг возросшей активности Hajime началась в воскресенье, 25 марта, когда «ханипоты» исследователей стали массово фиксировать сканирование в поисках портов 8291. В последующие дни сканирование продолжалось без каких-либо признаков снижения активности, привлекая внимание исследователей безопасности по всему миру.
Сканирование осуществлялось очень интенсивно и в больших масштабах. Первым его обнаружили специалисты из Qihoo 360 Netlab. По их подсчетам, за последние три дня Hajime провел свыше 860 тыс. сканирований, однако число успешных заражений исследователи назвать не могут.
Инфицирование происходит через известную уязвимость под названием Chimay Red в версии прошивки MikroTik RouterOS 6.38.4 и более ранних, позволяющую осуществить код и получить контроль над устройством. Ранее эксплоит Chimay Red входил в хакерский арсенал ЦРУ и был опубликован WikiLeaks в рамках проекта Vault 7.
Заражение происходит следующим образом. Боты Hajime сканируют произвольные IP-адреса на наличие порта 8291, указывающего на устройства MikroTik. Найдя нужное устройство, они пытаются инфицировать его с помощью публично доступного набора эксплоитов через один из портов: 80, 81, 82, 8080, 8081, 8082, 8089, 8181 или 8880. После заражения инфицированное устройство также начинает осуществлять сканирование в поисках порта 8291.
По словам представителей MikroTik, вышеуказанная уязвимость была исправлена почти год назад с выходом версии RouterOS 6.38.5. В настоящее время актуальной версией прошивки является 6.41.3.
Примечательно, что предназначение ботнета Hajime до сих пор остается загадкой для исследователей. В отличие от других ботсетей, он никогда не использовался для осуществления масштабных DDoS-атак. До сих пор Hajime занимается исключительно поиском и заражением новых устройств, но дальше этого его активность не распространяется.
Источник:
https://www.securitylab.ru/news/492340.php
Успешная эксплуатация уязвимостей может позволить злоумышленнику получить доступ к службе передачи файлов на устройстве.
В программируемых логических контроллерах (ПЛК) производства Schneider Electric обнаружены 3 опасные уязвимости, совместная эксплуатация которых может позволить злоумышленнику удаленно выполнить произвольный код или установить вредоносное ПО.
Уязвимости затрагивают контроллеры моделей Modicon Premium (все версии), Modicon Quantum (все версии), Modicon M340 (все версии), а также модуль Modicon BMXNOR0200 (все версии).
Уязвимости CVE-2018-7242 и CVE-2018-7240 представляют собой проблемы переполнения буфера и вызваны тем, что FTP-сервер не ограничивает длину параметра команды.
Еще одна уязвимость CVE-2018-7241 заключается в наличии неизменяемых учетных данных, позволяя злоумышленнику получить неавторизованный доступ к устройству.
Успешная эксплуатация вышеописанных уязвимостей может позволить удаленному неавторизованному злоумышленнику получить доступ к службе передачи файлов на устройстве, а затем выполнить произвольный код или установить вредоносное программное обеспечение.
Schneider Electric порекомендовала пользователям отключать FTP-сервисы на устройстве, если они не нужны для настройки или операций по техническому обслуживанию.
Источник:
https://www.securitylab.ru/news/492333.php
Hajime ботнет стал активно искать устройства MikroTik
За последние три дня ботнет провел свыше 860 тыс. сканирований.
Целый ряд исследователей безопасности обнаружили массовое заражение IoT-ботнетом Hajime устройств MikroTik.
Шумиха вокруг возросшей активности Hajime началась в воскресенье, 25 марта, когда «ханипоты» исследователей стали массово фиксировать сканирование в поисках портов 8291. В последующие дни сканирование продолжалось без каких-либо признаков снижения активности, привлекая внимание исследователей безопасности по всему миру.
Сканирование осуществлялось очень интенсивно и в больших масштабах. Первым его обнаружили специалисты из Qihoo 360 Netlab. По их подсчетам, за последние три дня Hajime провел свыше 860 тыс. сканирований, однако число успешных заражений исследователи назвать не могут.
Инфицирование происходит через известную уязвимость под названием Chimay Red в версии прошивки MikroTik RouterOS 6.38.4 и более ранних, позволяющую осуществить код и получить контроль над устройством. Ранее эксплоит Chimay Red входил в хакерский арсенал ЦРУ и был опубликован WikiLeaks в рамках проекта Vault 7.
Заражение происходит следующим образом. Боты Hajime сканируют произвольные IP-адреса на наличие порта 8291, указывающего на устройства MikroTik. Найдя нужное устройство, они пытаются инфицировать его с помощью публично доступного набора эксплоитов через один из портов: 80, 81, 82, 8080, 8081, 8082, 8089, 8181 или 8880. После заражения инфицированное устройство также начинает осуществлять сканирование в поисках порта 8291.
По словам представителей MikroTik, вышеуказанная уязвимость была исправлена почти год назад с выходом версии RouterOS 6.38.5. В настоящее время актуальной версией прошивки является 6.41.3.
Примечательно, что предназначение ботнета Hajime до сих пор остается загадкой для исследователей. В отличие от других ботсетей, он никогда не использовался для осуществления масштабных DDoS-атак. До сих пор Hajime занимается исключительно поиском и заражением новых устройств, но дальше этого его активность не распространяется.
Источник:
https://www.securitylab.ru/news/492340.php