PT-2014-56: Подмена запросов на стороне сервера в Honeywell EPKS

Уязвимое ПО

Honeywell EPKS
Версия: R311

Ссылка:
http://honeywell.com/

Рейтинг опасности

Уровень опасности: Высокий
Воздействие: Подмена запросов на стороне сервера
Вектор атаки: Удаленный

CVSS v2:
Base Score: 8.0
Vector: (AV:N/AC:L/Au:S/С:C/I:P/A:P)

CVE: отсутствует

Описание программы

Honeywell Experion PKS - эффективная система управления и обеспечения безопасности, которая расширяет возможности распределенной системы управления. Experion представляет собой безопасную, надежную, масштабируемую, централизованную систему управления, обеспечивающую высокий уровень совместимости на всех этапах деятельности предприятия.

Описание уязвимости

Специалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимость "Подмена запросов на стороне сервера" в Honeywell EPKS.

Control Builder позволяет осуществлять управление PLC-проектами, импортировать и экспортировать файлы проекта. Описание проекта хранится в файлах формата XML, в которых могут содержаться внешние элементы DOCTYPE, данная уязвимость позволяет злоумышленнику подменить запрос для внутренней сети.

Решение

Установите последнюю версию программы

Статус уведомления

06.03.2014 - Производителю отправлены детали уязвимости
02.06.2014 - Производитель выпустил исправление
18.11.2014 - Публикация уязвимости

Благодарности

Уязвимость обнаружил Артем Чайкин (Исследовательский центр Positive Research компании Positive Technologies)

Ссылки

http://www.securitylab.ru/lab/PT-2014-56

Список отчетов о ранее обнаруженных уязвимостях Positive Research:

http://www.ptsecurity.ru/lab/advisory/
http://www.securitylab.ru/lab/

Уязвимости