西门子服务器曝出身份验证的绕过漏洞

专题库
CFCA信息安全实验室 来源:中国电子银行网 2017-07-21 08:58:17 西门子身份验证漏洞 信息安全

核心提示ICS-CERT表示:“成功利用这些漏洞可能允许未经身份验证的攻击者通过网络访问服务器进行管理操作。

  西门子SiPass集成服务器中的一些漏洞已被修补,其中包括一个允许攻击者绕过验证的漏洞。

西门子服务器曝出身份验证的绕过漏洞

  SiPass是该公司在多个行业和用例中管理物理访问的综合访问控制服务器。该产品支持读卡器,并与视频监控设备集成,以及其他功能和功能。医院,机场和制造设施由西门子列为服务器的理想用例。

  该咨询说,工业控制系统网络应急小组(ICS-CERT)周四发布了一个咨询警告用户,他们应该立即将服务器更新到V2.70。

  ICS-CERT表示:“成功利用这些漏洞可能允许未经身份验证的攻击者通过网络访问服务器进行管理操作。

  不正当的身份验证错误CVE-2017-9939获得了9.8的CVSS基准分数,只有最高10个。根据ICS-CERT,具有对SiPass服务器的网络访问权限的攻击者可以绕过设备上的身份验证并运行他们选择的代码或操作。

  在更新中也修补了三个其他较小关键的漏洞。CVE-2017-9940是一种不正当的权限管理缺陷,允许攻击者具有较小的权限,通过网络将文件读取或写入SiPass服务器。

  该更新还涉及到一个中间人的漏洞CVE-2017-9941。位于SiPass服务器和集成客户端之间的攻击者可以访问两点之间的通信。

  最后,CVE-2017-9942是一个问题,密码以可恢复的格式存储,允许本地攻击者获取这些凭据。

  西门子还修补了SIMATIC SmartClient Android应用程序中的两个漏洞,可以远程操作和管理SIMATIC人机界面(HMI)系统。

  西门子公司表示,SIMATIC WinCC SmartClient for Android和适用于V1.0.2.2之前的Android版本的SmartClient Lite受到影响。

  ICS-CERT在一份咨询中表示:“成功利用这些漏洞可能会让具有特权网络位置的攻击者读取和修改传输层安全TLS会话中的数据。

  该更新解决了一对缺陷。第一个是中间人的漏洞,其中现有的TLS实现可能被滥用以允许攻击者访问TLS会话中的数据; CVE-2017-6870仅影响适用于Android的WinCC SmartClient。

  第二个错误CVE-2017-6871是一个身份验证绕过漏洞。它要求攻击者可以物理访问运行该软件的解锁的Android设备,并且可以忽略针对Android的SmartClient Lite的身份验证。

责任编辑:韩希宇

收藏

  • 最新
  • 最热

    点击加载

      点击加载

      我要评论
      普通评论
      游客

      登录后参与评论

      为你推荐

        暂无相关推荐
        合作媒体

        中国网络电视经济台 | 和讯银行 | 新浪理财 | 凤凰理财 | 腾讯网 | MSN理财 | 第一理财网 | 网易科技 | 中华财会网 | 电商中心 | 第一财经网 | 北京商报网 | 和讯科技 | 财新网 | 中国网理财 | 计世网 | 金融界银行 | 光明网经济 | 东方财富网 | 经济观察网 | 中国经营网 | 赛迪网 | 钱讯网 | 新华信息化 | 中关村商城 | 同花顺金融服务网 | CIO时代网 | 环球网财经 | 投资时报 | 钛媒体 | 中国金融新闻网 | 新华网财经 | 人民网金融频道 | 中文互联网数据研究资讯中心 | 中金在线 | 光芒网 | 大公财经 | 外汇 | 品途网