وصله کردن آسیب‌پذیری بازسازی رمز عبور توسط شرکت زیمنس در SICAM PAS

تیم واکنش اضطراری سامانه‌های کنترل صنعتی سایبری آمریکا (ISC-CERT) به کاربرانی که در پست‌های برق کار می‌کنند هشدار داده است تا برخی از نسخه‌های نرم‌افزارهای خودکارسازی انرژی را در این هفته به‎روزرسانی کنند.

تیم ICS-CERT ادعا کرده است که این آسیب‌پذیری‌ها در سامانه خودکارسازی برق Siemens Sicam یا به عبارت دیگر PAS وجود دارد که می‌تواند یک مهاجم را قادر کند تا یک رمز عبور را دوباره بازسازی کرده و اطلاعات حساس را در شرایط خاصی به دست آورد.

زیمنس که یک شرکت فناوری خودکارسازی صنعتی آلمانی است و این نرم‌افزار را تولید کرده است؛ این هفته یک به‌روزرسانی منتشر کرد تا این آسیب‌پذیری را وصله کند. از کاربران خواسته شده است تا به نسخه‌ی ۸.۰۷ به‌روزرسانی کنند تا بتوانند این مشکل را حل کنند.

یک توصیه‌نامه‌ی امنیتی نیز در این مورد با عنوان «SSA-۴۴۴۲۱۷: آسیب‌پذیری افشای اطلاعات در SICAM PAS» منتشر شده است که برای جزییات بیش‌تر می‌توان به آن مراجعه کرد.

درحالی‌که اولین آسیب‌پذیری (CVE-۲۰۱۶-۵۸۴۸) از فقدان حفاظت کافی از اعتبارنامه‌ها ناشی می‌شود؛ آسیب‌پذیری دوم (CVE-۲۰۱۶-۵۸۴۹) از یک آسیب‌پذیری افشای اطلاعات در پایگاه داده نشأت می‌گیرد.

در این آسیب‌پذیری که روز پنج‌شنبه منتشر شده است هشدار داده شده: «یک مهاجم با مجوز محلی می‌تواند به داده‌های پیکربندی حساس از پرونده پایگاه داده‌ی SICAM PAS دسترسی پیدا کند و آن در صورتی خواهد بود که این پایگاه داده در وضعیت توقف قرار داشته باشد».

دو محقق از شرکت فناوری Positive Technologies به نام‌های ایلیا کارپوف و دیمیتری اسکلیاروف این دو آسیب‌پذیری را کشف کرده‌اند.

به گفته‌ی شرکت زیمنس این آسیب‌پذیری در پست‌های برق که در بخش‌های انرژی سراسر دنیا قرار استقرار یافته‌اند، قرار دارد. تیم ICS-CERT هشدار داده است که مهاجمی که حتی مهارت اندکی داشته باشد می‌تواند از این آسیب‌پذیری استفاده کند اما می‌گوید بااین‌حال مهاجم باید اجازه‌ی دسترسی محلی به سامانه و امتیاز پایگاه داده‌ی خاصی را داشته باشد؛ چیزی که ممکن است تا حدودی دامنه‌ی این آسیب‌پذیری را محدود کند.

زیمنس مدعی شده است که به‌روزرسانی به نسخه‌ی ۸.۰۷ موجب برطرف شدن آسیب‌پذیری حفاظت ناکافی می‌شود اما برای حل مشکل آسیب‌پذیری افشای اطلاعات کاربران باید رایانامه‌ای را مستقیماً به این شرکت ارسال کنند تا راهنمایی‌های بیشتری دریافت کنند.

همچنین ISC-CERT برای دو مورد دیگر از نرم‌افزارهای برنامه‌ریزی در روز پنجشنبه نیز هشدار داده است.

این تیم که با امنیت سامانه‌های کنترل صنعتی سروکار دارد؛ در مورد دو آسیب‌پذیری سرریز بافر در نرم‌افزار مدیریت برنامه‌ریزی ELCsoft از شرکت Eaton و سه آسیب‌پذیری مدیریت ضعیف اعتبارنامه‌ها و یک آسیب‌پذیری CSRF و نشت اطلاعات در درگاه‌های AirLink که توسط شرکت Sierra Wireless تولید می‌شوند هشدار داده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.