PT-2018-06: Обход аутентификации в коммутаторах Hirschmann Уязвимые устройства RS Версия: все версии RSR Версия: все версии RSB Версия: все версии MACH100 Версия: все версии MACH1000 Версия: все версии MACH4000 Версия: все версии MS Версия: все версии OCTOPUS Версия: все версии Ссылка: http://www.hirschmann.com/ Рейтинг опасности Уровень опасности: Высокий Воздействие: Обход аутентификации Вектор атаки: Удаленный CVSS v3: Base Score: 9.8 Vector: (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) CVE: CVE-2018-5469 Описание уязвимости Специалисты Исследовательского центра Positive Research компании Positive Technologies обнаружили уязвимость "Обход аутентификации" в коммутаторах Hirschmann. Уязвимость в веб-интерфейсе коммутаторов Belden Hirschmann RS, RSR, RSB, MACH100, MACH1000, MACH4000, MS и OCTOPUS Classic, связанная с некорректным ограничением количества попыток аутентификации, позволяет злоумышленникам пройти аутентификацию методом подбора ("грубой силы"). Решение Используйте рекомендации Статус уведомления 16.03.2017 - Производителю отправлены детали уязвимостей 06.03.2018 - Производитель выпустил исправление 28.04.2018 - Публикация уязвимости Благодарности Уязвимость обнаружили Илья Карпов, Евгений Дружинин и Дамир Зайнуллин(Исследовательский центр Positive Research компании Positive Technologies) Ссылки https://www.securitylab.ru/lab/PT-2018-06 https://www.securitylab.ru/news/492975.php Список отчетов о ранее обнаруженных уязвимостях Positive Research: https://www.ptsecurity.ru/ https://www.securitylab.ru/lab/ О Positive Technologies Positive Technologies — один из лидеров европейского рынка систем анализа защищенности и соответствия стандартам, а также защиты веб-приложений. Организации во многих странах мира используют решения Positive Technologies для оценки уровня безопасности своих сетей и приложений, для выполнения требований регулирующих организаций и блокирования атак в режиме реального времени. Благодаря многолетним исследованиям специалисты Positive Technologies заслужили репутацию экспертов международного уровня в вопросах защиты SCADA- и ERP-систем, крупнейших банков и телеком-операторов. Деятельность компании лицензирована Минобороны России, ФСБ России и ФСТЭК России, продукция сертифицирована Минобороны России и ФСТЭК России.
