Kelemahan Keamanan Kritis Terungkap di Layanan Honeywell Experion DCS dan QuickBlox
14 Juli 2023Ruang BeritaKerentanan/Ancaman Siber
Berbagai kerentanan keamanan telah ditemukan di berbagai layanan, termasuk sistem kontrol terdistribusi (DCS) Honeywell Experion dan QuickBlox, yang jika berhasil dieksploitasi, dapat mengakibatkan gangguan parah pada sistem yang terkena dampak.
Dijuluki Crit.IX, sembilan kelemahan dalam platform Honeywell Experion DCS memungkinkan terjadinya “eksekusi kode jarak jauh yang tidak sah, yang berarti penyerang akan memiliki kekuatan untuk mengambil alih perangkat dan mengubah pengoperasian pengontrol DCS, sekaligus menyembunyikan perubahan tersebut dari stasiun kerja teknik yang mengelola pengontrol,” kata Armis dalam pernyataan yang dibagikan kepada The Hacker News.
Dengan kata lain, permasalahan ini berkaitan dengan kurangnya enkripsi dan mekanisme autentikasi yang memadai dalam protokol kepemilikan yang disebut Control Data Access (CDA) yang digunakan untuk berkomunikasi antara Server Experion dan pengontrol C300, yang secara efektif memungkinkan pelaku ancaman mengambil alih perangkat dan mengubah operasi. dari pengontrol DCS.
“Hasilnya, siapa pun yang memiliki akses ke jaringan dapat menyamar sebagai pengontrol dan server,” kata Tom Gol, CTO penelitian di Armis. ” Selain itu, terdapat kelemahan desain pada protokol CDA yang mempersulit pengendalian batas data dan dapat menyebabkan buffer overflows.”
Badan Keamanan Siber dan Infrastruktur AS (CISA), dalam sebuah penasehatannya, mengatakan tujuh dari sembilan kelemahan memiliki skor CVSS 9,8 dari 10, sementara dua lainnya memiliki tingkat keparahan 7,5. “Eksploitasi kerentanan ini yang berhasil dapat menyebabkan kondisi penolakan layanan, memungkinkan peningkatan hak istimewa, atau memungkinkan eksekusi kode jarak jauh,” peringatannya.
Dalam pengembangan terkait, Check Point dan Claroty menemukan kelemahan besar dalam platform obrolan dan panggilan video yang dikenal sebagai QuickBlox yang banyak digunakan dalam perangkat telemedis, keuangan, dan IoT pintar. Kerentanan ini memungkinkan penyerang membocorkan database pengguna dari banyak aplikasi populer yang menggabungkan QuickBlox SDK dan API.
Ini termasuk Rozcom, vendor Israel yang menjual interkom untuk penggunaan perumahan dan komersial. Pemeriksaan lebih dekat terhadap aplikasi selulernya menghasilkan penemuan bug tambahan (CVE-2023-31184 dan CVE-2023-31185) yang memungkinkan pengunduhan semua basis data pengguna, meniru identitas pengguna mana pun, dan melakukan serangan pengambilalihan akun secara penuh.
“Hasilnya, kami dapat mengambil alih semua perangkat interkom Rozcom, memberi kami kendali penuh dan memungkinkan kami mengakses kamera dan mikrofon perangkat, menyadap salurannya, pintu terbuka yang dikelola oleh perangkat, dan banyak lagi,” kata para peneliti.
Minggu ini juga terungkap kelemahan eksekusi kode jarak jauh yang berdampak pada titik akses Aerohive/Extreme Networks yang menjalankan HiveOS/Extreme IQ Engine versi sebelum 10.6r2 dan pustaka Ghostscript sumber terbuka (CVE-2023-36664, skor CVSS: 9.8) yang dapat mengakibatkan eksekusi perintah sewenang-wenang.
“Ghostscript adalah paket yang banyak digunakan namun belum diketahui secara luas,” kata peneliti Kroll, Dave Truman. “Ini dapat dijalankan dengan berbagai cara, mulai dari membuka file dalam editor gambar vektor seperti Inkscape hingga mencetak file melalui CUPS. Ini berarti bahwa eksploitasi kerentanan dalam Ghostscript mungkin tidak terbatas pada satu aplikasi atau langsung terlihat jelas. .”
Kekurangan keamanan juga telah dipublikasikan di dua platform sumber terbuka berbasis Golang Owncast (CVE-2023-3188, skor CVSS: 6.5) dan EaseProbe (CVE-2023-33967, skor CVSS: 9.8) yang dapat membuka jalan bagi Server -Side Request Forgery (SSRF) dan serangan injeksi SQL, masing-masing.
Yang melengkapi daftar ini adalah penemuan kredensial hard-code di router gateway DSL Technicolor TG670 yang dapat digunakan oleh pengguna yang diautentikasi untuk mendapatkan kontrol administratif penuh atas perangkat.
“Penyerang jarak jauh dapat menggunakan nama pengguna dan kata sandi default untuk login sebagai administrator perangkat router,” kata CERT/CC dalam sebuah penasehat. “Hal ini memungkinkan penyerang untuk mengubah pengaturan administratif router dan menggunakannya dengan cara yang tidak terduga.”
Pengguna disarankan untuk menonaktifkan administrasi jarak jauh pada perangkat mereka untuk mencegah potensi upaya eksploitasi dan menghubungi penyedia layanan untuk menentukan apakah patch dan pembaruan yang sesuai tersedia.
Apakah artikel ini menarik? Ikuti kami di Twitter dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.
