Компания Echelon, производитель оборудования для автоматизации управления зданиями, сообщила о проблемах безопасности в некоторых моделях серверов. Ошибки в ПО устройств позволяют злоумышленникам получить доступ к конфиденциальным данным и удаленно выполнить сторонний код. Уязвимости оценили в 9,8 баллов из 10 по шкале CVSS.

Бреши обнаружены в продуктах Echelon SmartServer 1 и SmartServer 2, а также i.LON 100 и i.LON 600. Эти решения обеспечивают управление инженерными системами зданий и промышленных предприятий, помогают регулировать работу элементов ЖКХ и контролировать энергопотребление. Помимо этого, сотрудники службы эксплуатации могут удаленно отслеживать необходимые показатели через специальный веб-интерфейс.

Производитель описал четыре уязвимости, которые позволяют отправлять веб-серверам нелегитимные команды. Отмечается, что атаку возможно провести удаленно, а от злоумышленника не требуется владение серьезными техническими навыками.

Две из закрытых уязвимостей не затрагивают решение Echelon i.LON 600. Первая брешь, CVE‑2018-10627, открывает доступ к именам пользователей и паролям в веб- и FTP‑серверах. Для этого злоумышленник может эксплуатировать API SOAP — протокол для обмена структурированными сообщениями в распределенных вычислительных средах.

Вторая уязвимость — CVE-2018-8859 — позволяет стороннему пользователю добавить дополнительные символы в имя каталога, к которому он пытается получить доступ. В результате он сможет обойти механизм аутентификации.

Другие проблемы безопасности присутствуют во всех четырех продуктах. Уязвимость CVE-2018-8851 связана с хранением паролей на устройствах в текстовом виде. Из-за отсутствия шифрования взломщик может прочитать файл конфигурации и зайти в веб-интерфейс управления.

Брешь CVE-2018-8855 позволяет менять конфигурацию продуктов через незащищенное FTP-соединение.

Производитель опубликовал на своем сайте обновление, которое закрывает бреши CVE-2018-8859, CVE-2018-8851 и CVE-2018-8855. Для устранения уязвимости CVE-2018-10627 пользователям необходимо самостоятельно запретить доступ к SOAP API, отредактировав конфигурационный файл WebParams.dat. Помимо этого, компания призывает клиентов сменить установленные по умолчанию логин и пароль.

Специалисты Национального центра кибербезопасности США (National Cybersecurity and Communications Integration Center, NCCIC) напоминают, что серверы промышленных систем не должны быть доступны из Интернета. Администраторам следует скрывать их за межсетевыми экранами и изолировать от прочих элементов корпоративной IT-инфраструктуры.

Категории: Уязвимости