Emerson исправила ряд опасных уязвимостей в газоанализаторах X-STREAM

Emerson исправила ряд опасных уязвимостей в газоанализаторах X-STREAM

Alexander Antipov

Некоторые уязвимости, предположительно, можно использовать удаленно и без аутентификации.

image

Американский промышленный гигант Emerson проинформировал клиентов о выпуске обновлений прошивки для своих газоанализаторов Rosemount X-STREAM с целью устранения ряда уязвимостей .

Газоанализаторы Emerson позволяют промышленным организациям непрерывно анализировать выбросы технологических газов. В ходе внутреннего тестирования компания обнаружила, что анализаторы X-STREAM содержат шесть уязвимостей.

Изначально компания сообщила об уязвимостях в декабре 2020 года, однако не предоставила никакой информации о проблемах. Лишь некоторые общие рекомендации, которые клиенты могли применять до тех пор, пока не станут доступны исправления.

Во второй версии уведомления, опубликованном 18 мая, компания предоставила краткое описание каждой уязвимости и проинформировала клиентов о наличии исправлений.

Три из шести проблем являются опасными. Одна уязвимость (CVE-2021-27457) связана с использованием слабого алгоритма для шифрования учетных данных пользователя. Злоумышленник с помощью учетных данных может получить доступ к устройству и перенастроить его или получить конфиденциальную информацию.

Другая опасная уязвимость (CVE-2021-27459) связана с приложением, позволяющим злоумышленнику загружать вредоносные файлы для доступа к учетным данным и другой конфиденциальной информации.

Проблему обхода пути (CVE-2021-27461) можно использовать для доступа к данным, хранящимся на web-сервере, путем прямого ввода URL-адреса страницы.

Остальные три уязвимости (CVE-2021-27463, CVE-2021-27465 и CVE-2021-27467) являются менее опасными и могут позволить злоумышленнику перехватить cookie-файлы, внедрить произвольный код на web-страницу с помощью XSS-атаки и получить пароли и другие конфиденциальные данные с помощью кликджекинга.

В сообщении не указывается, какой тип доступа и разрешения необходимы для использования этих уязвимостей, но, некоторые, предположительно, можно использовать удаленно и без аутентификации.


Мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру в нашем Yotube выпуске.


Источник: Securitylab