微慑信息网

霍尼韦尔 SCADA 控制器存多个漏洞,以明文形式存储密码

霍尼韦尔( Honeywell )的一款基于 web 的 SCADA 系统存在一系列可远程利用的漏洞,攻击者可访问特定的 URL 获取密码。

据美国国土安全部的工业控制系统网络紧急响应小组( ICS CERT )报道显示,霍尼韦尔 XL Web II 控制器的某些版本存在五个漏洞,其中最可怕的是控制器的密码以明文存储。此外,攻击者可以通过访问特定的 URL 来打开和更改参数、建立新的用户会话、执行路径遍历攻击获取认证密码。

受影响的版本
XL1000C500 XLWebExe-2-01-00 及之前版本
XLWeb 500 XLWebExe-1-02-08 及之前版本

该控制器被部署在关键基础设施部门如废水、能源和制造公司。霍尼韦尔已经发布 3.04.05.05 版本来修复 XL Web II 控制器中的漏洞。目前还不清楚霍尼韦尔 XL Web II 控制器影响的范围。据 Zoomeye 搜索的结果显示,虽然霍尼韦尔是一家美国公司,但大多数产品销往欧洲和中东。如西班牙、意大利等。

%e5%b1%8f%e5%b9%95%e5%bf%ab%e7%85%a7-2017-02-06-19-19-06

 

 

from hackernews.cc.thanks for it.

赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 霍尼韦尔 SCADA 控制器存多个漏洞,以明文形式存储密码

评论 抢沙发

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫

微信扫一扫

登录

找回密码

注册