微慑信息网

霍尼韦尔 SCADA 控制器存多个漏洞,以明文形式存储密码

霍尼韦尔( Honeywell )的一款基于 web 的 SCADA 系统存在一系列可远程利用的漏洞,攻击者可访问特定的 URL 获取密码。

据美国国土安全部的工业控制系统网络紧急响应小组( ICS CERT )报道显示,霍尼韦尔 XL Web II 控制器的某些版本存在五个漏洞,其中最可怕的是控制器的密码以明文存储。此外,攻击者可以通过访问特定的 URL 来打开和更改参数、建立新的用户会话、执行路径遍历攻击获取认证密码。

受影响的版本
XL1000C500 XLWebExe-2-01-00 及之前版本
XLWeb 500 XLWebExe-1-02-08 及之前版本

该控制器被部署在关键基础设施部门如废水、能源和制造公司。霍尼韦尔已经发布 3.04.05.05 版本来修复 XL Web II 控制器中的漏洞。目前还不清楚霍尼韦尔 XL Web II 控制器影响的范围。据 Zoomeye 搜索的结果显示,虽然霍尼韦尔是一家美国公司,但大多数产品销往欧洲和中东。如西班牙、意大利等。

%e5%b1%8f%e5%b9%95%e5%bf%ab%e7%85%a7-2017-02-06-19-19-06

 

 

from hackernews.cc.thanks for it.

本文标题:霍尼韦尔 SCADA 控制器存多个漏洞,以明文形式存储密码
English Title:Honeywell SCADA controller saves a number of loopholes in the form of plaintext password
本文链接:
(转载请附上本文链接)
http://vulsee.com/archives/vulsee_2017/0206_541.html
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 霍尼韦尔 SCADA 控制器存多个漏洞,以明文形式存储密码
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

微慑信息网 专注工匠精神

访问我们联系我们