瑞士工业技术公司ABB的门禁通信系统中存在多个严重漏洞
6月13日讯 德国安全公司 ernw 的研究人员发现,瑞士工业技术公司 abb 的门禁通信系统中存在多个严重漏洞。
影响范围
易遭受攻击的产品为abb ip 网关(同时也以 busch-jaeger 品牌销售),它是 abb 门禁通信解决方案的一个组件。此类解决方案包括音频和视频对讲机、指纹读取器等。
abb 在近期发布的安全公告中表示,运行固件版本 3.39 和更早版本的 ip 网关中存在几个潜在的严重漏洞。
ip 网关的主要作用是为对讲机、本地网络和可用于远程监控和控制系统的移动应用程序提供连接。
存在远程代码注入等多个漏洞
研究人员发现的其中一个漏洞为远程代码注入漏洞,允许访问本地网络的攻击者控制目标设备。该漏洞影响本地配置 web 服务器,攻击者可向系统发送特制的信息利用该漏洞。
一、不正确的身份验证漏洞(cve-2017-7931)
允许攻击者绕过身份验证,访问配置文件和 web 服务器上的页面。
二、明文存储密码漏洞(cve-2017-7933)
攻击者成功登录后可从用户的浏览器cookie中获取管理员密码,但前提是,攻击者必须首先攻击客户端系统,以成功提取明文密码 cookie。
三、跨站请求伪造漏洞(cve-2017-7906)
允许攻击者以合法用户的身份执行多种操作。
这些攻击可远程实现,但通常都要求用户交互,例如点击链接、访问恶意网页等。
abb 表示,目前尚未发现这些漏洞遭利用的情况,且目前尚未公开漏洞详情。
已发布固件更新
abb 公司已发布固件版本 3.40 修复了这些漏洞,并提供了一些解决方案缓解攻击威胁,其中最重要的建议是,希望用户确保 web 服务器无法直接通过互联网访问。
Android移植到iPhone 4进展缓慢
KUKA建立函数的方法和例子
润和软件HiHopeOS操作系统成为首个通过OpenHarmony 兼容性评测的软件发行版
CD4046实现电池快速充电器电路
鹏鼎控股下半年产能利用率预计90%以上
瑞士工业技术公司ABB的门禁通信系统中存在多个严重漏洞
IBM发布人工智能显微镜 加快我国探测海洋水资源进程
特斯拉汽车公司不可能是下一个“苹果”?
对话Vishay:如何以专注赢得竞争优势?
百元级预算,千元机体验,NANK南卡LITE真无线蓝牙耳机上市开售!
什么是贴片y电容?主要材料、优势与应用领域介绍!
智能交通网络安全应用实践指南
如何看待华为鸿蒙谣言四起的现状
助力第三代半导体可靠性 | 广电计量出席2022白石山第三代半导体峰会
展望未来五年的蓝牙设备网络!
特斯拉正考虑进军家用空调市场
中科芯亿达MX6833双桥电机驱动器解决方案
2021年Q1国内HEV节能乘用车合计装机量约为154MWh,同比增长151%
美国宜家首批充电桩将于2022年底上线
一汽解放:下一步计划与华为联手,共建商用车行业大模型
影响范围
易遭受攻击的产品为abb ip 网关(同时也以 busch-jaeger 品牌销售),它是 abb 门禁通信解决方案的一个组件。此类解决方案包括音频和视频对讲机、指纹读取器等。
abb 在近期发布的安全公告中表示,运行固件版本 3.39 和更早版本的 ip 网关中存在几个潜在的严重漏洞。
ip 网关的主要作用是为对讲机、本地网络和可用于远程监控和控制系统的移动应用程序提供连接。
存在远程代码注入等多个漏洞
研究人员发现的其中一个漏洞为远程代码注入漏洞,允许访问本地网络的攻击者控制目标设备。该漏洞影响本地配置 web 服务器,攻击者可向系统发送特制的信息利用该漏洞。
一、不正确的身份验证漏洞(cve-2017-7931)
允许攻击者绕过身份验证,访问配置文件和 web 服务器上的页面。
二、明文存储密码漏洞(cve-2017-7933)
攻击者成功登录后可从用户的浏览器cookie中获取管理员密码,但前提是,攻击者必须首先攻击客户端系统,以成功提取明文密码 cookie。
三、跨站请求伪造漏洞(cve-2017-7906)
允许攻击者以合法用户的身份执行多种操作。
这些攻击可远程实现,但通常都要求用户交互,例如点击链接、访问恶意网页等。
abb 表示,目前尚未发现这些漏洞遭利用的情况,且目前尚未公开漏洞详情。
已发布固件更新
abb 公司已发布固件版本 3.40 修复了这些漏洞,并提供了一些解决方案缓解攻击威胁,其中最重要的建议是,希望用户确保 web 服务器无法直接通过互联网访问。
Android移植到iPhone 4进展缓慢
KUKA建立函数的方法和例子
润和软件HiHopeOS操作系统成为首个通过OpenHarmony 兼容性评测的软件发行版
CD4046实现电池快速充电器电路
鹏鼎控股下半年产能利用率预计90%以上
瑞士工业技术公司ABB的门禁通信系统中存在多个严重漏洞
IBM发布人工智能显微镜 加快我国探测海洋水资源进程
特斯拉汽车公司不可能是下一个“苹果”?
对话Vishay:如何以专注赢得竞争优势?
百元级预算,千元机体验,NANK南卡LITE真无线蓝牙耳机上市开售!
什么是贴片y电容?主要材料、优势与应用领域介绍!
智能交通网络安全应用实践指南
如何看待华为鸿蒙谣言四起的现状
助力第三代半导体可靠性 | 广电计量出席2022白石山第三代半导体峰会
展望未来五年的蓝牙设备网络!
特斯拉正考虑进军家用空调市场
中科芯亿达MX6833双桥电机驱动器解决方案
2021年Q1国内HEV节能乘用车合计装机量约为154MWh,同比增长151%
美国宜家首批充电桩将于2022年底上线
一汽解放:下一步计划与华为联手,共建商用车行业大模型