Компания Rockwell Automation признала наличие двух уязвимостей в своем устройстве для управления электропитанием PowerMonitor 1000, входящем в линейку Allen-Bradley. Баги в  прошивке позволяют злоумышленнику обойти систему авторизации и получить права администратора, а также выполнить вредоносный код на странице, открытой пользователем в браузере. Производитель пока не выпустил патчи, однако рассказал, как снизить риск атаки.

Как выяснили ИБ-специалисты, веб-интерфейс авторизации PowerMonitor 1000 содержит деактивированные кнопки управления конфигурацией, которые позволяют добавлять новых пользователей, редактировать данные других профилей и менять политику безопасности. Все эти функции отключены через параметр disabled в коде страницы. Обратившись к PowerMonitor 1000 через прокси-сервер, злоумышленник может удалить этот аргумент и создать нового администратора системы.

Баг, зарегистрированный как CVE-2018-19616, получил критический рейтинг опасности и 9,8 балла по шкале CVSS, поскольку позволяет нападающему добиться полного контроля над устройством.

Вторую брешь, CVE-2018-19615, связанную с возможностью межсайтового скриптинга при работе с панелью управления монитора, эксперты обозначили как менее опасную. Они пояснили, что легитимный пользователь системы имеет возможность добавить в файл Security.shtm, хранящийся на устройстве, новый аккаунт. Однако наличие уязвимости позволяет при отправке данных через POST-запрос внедрить вредоносный код в соответствующий параметр. Скрипт сохранится в базе данных прибора и может быть выполнен при просмотре профиля в браузере. Уязвимость получила 6,1 балла CVSS, так как для ее эксплуатации требуется предварительная авторизация в системе.

PowerMonitor 1000 используют для управления нагрузкой и перераспределения мощности подключенных к нему потребителей электроэнергии. Устройство применяется в энергетической отрасли и относится к критически важным элементам промышленных систем.

Несмотря на то что о багах в прошивке прибора стало известно еще в ноябре прошлого года, производитель пока не обозначил сроки выхода заплаток, отметив лишь, что работает над решением проблемы. В Rockwell Automation указали, что один из производителей брандмауэров выпустил набор правил, который позволяет выявить попытки атак через CVE-2018-19615.

В декабре прошлого года стало известно о серьезной бреши в программируемых контроллерах того же вендора. ИБ-эксперты нашли в коммуникационных модулях ПЛК MicroLogix 1400 баг, позволявший злоумышленнику дистанционно изменить IP-адрес устройства и вызвать отказ в обслуживании. Уязвимость не требовала авторизации в панели управления, специалисты признали ее крайне опасной.

Категории: Главное, Уязвимости