Microsoft je otkrio dvije sigurnosne propuste u Rockwell Automation PanelView Plus koje bi daljinski napadači bez autentifikacije mogli iskoristiti za izvršenje proizvoljnog koda i pokrenuti uslov uskraćivanja usluge (DoS).
“Ranjivost [daljinsko izvršavanje koda] u PanelView Plus uključuje dvije prilagođene klase koje se mogu zloupotrijebiti za otpremanje i učitavanje zlonamjernog DLL-a u uređaj”, rekao je istraživač sigurnosti Yuval Gordon.
„DoS ranjivost koristi prednost iste prilagođene klase za slanje izrađenog bafera kojim uređaj nije u stanju da rukuje pravilno, što dovodi do DoS-a.”
Spisak nedostataka je sledeći :
1.CVE-2023-2071 (CVSS rezultat: 9,8): Neispravna ranjivost provjere valjanosti unosa koja omogućava neovlaštenim napadačima da postignu daljinski kod koji se izvršava putem kreiranih zlonamjernih paketa.
2.CVE-2023-29464 (CVSS rezultat: 8,2):Neispravna ranjivost provjere valjanosti unosa koja omogućava neautoriziranom hakeru da čita podatke iz memorije putem izrađenih zlonamjernih paketa i rezultira DoS slanjem paketa većeg od veličine međuspremnika
Uspješno iskorištavanje dvostrukih nedostataka dozvoljava hakeru da izvrši kod na daljinu ili dovede do otkrivanja informacija ili stanja DoS-a.
Dok CVE-2023-2071 utiče na FactoryTalk View Machine Edition (verzije 13.0, 12.0 i starije), CVE-2023-29464 utiče na FactoryTalk Linx (verzije 6.30, 6.20 i starije).
Vrijedi napomenuti da je Rockwell Automation objavio savjete za nedostatke 12. septembra 2023. odnosno 12. oktobra 2023. Američka agencija za cyber i infrastrukturnu sigurnost (CISA) objavila je vlastita upozorenja 21. septembra i 17. oktobra.
Otkrivanje dolazi jer se vjeruje da nepoznati hakeri iskorištavaju nedavno otkrivenu kritičnu sigurnosnu grešku u HTTP serveru datoteka (CVE-2024-23692, CVSS rezultat: 9,8) za isporuku rudara kriptovaluta i trojana kao što su Xeno RAT, Gh0st RAT, PlugX, i GoThief, od kojih posljednji koristi Amazon Web Services (AWS) za krađu informacija sa zaraženog domaćina.
Ranjivost, opisana kao slučaj ubrizgavanja šablona, omogućava udaljenom napadaču bez autentifikacije da izvrši proizvoljne komande na pogođenom sistemu slanjem posebno kreiranog HTTP zahtjeva.
Izvor:The Hacker News