《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > InHand Networks工業(yè)路由器漏洞可使許多工業(yè)公司遭受遠(yuǎn)程攻擊

InHand Networks工業(yè)路由器漏洞可使許多工業(yè)公司遭受遠(yuǎn)程攻擊

2021-10-19
來源:網(wǎng)空閑話
關(guān)鍵詞: 路由器 遠(yuǎn)程攻擊

  據(jù)《安全周刊》10月11日報道,工業(yè)網(wǎng)絡(luò)安全公司OTORIO的研究人員在映翰通網(wǎng)絡(luò)公司(InHand Networks)制造的工業(yè)路由器中發(fā)現(xiàn)了13個嚴(yán)重的漏洞,其中有9個的CVSS評分都地在8分以上。這批嚴(yán)重漏洞可能會使許多工業(yè)組織暴露在黑客遠(yuǎn)程攻擊之下,而且似乎沒有可用的補(bǔ)丁。

  安全周刊的報道稱,近一年前,工業(yè)網(wǎng)絡(luò)安全公司OTORIO的研究人員在工業(yè)物聯(lián)網(wǎng)解決方案提供商InHand Networks生產(chǎn)的IR615 LTE路由器上發(fā)現(xiàn)了這些漏洞。該公司在中國、美國和德國設(shè)有辦事處,在四川和浙江設(shè)有研發(fā)中心,其產(chǎn)品在世界各地使用。InHand表示,其客戶包括西門子、通用電氣醫(yī)療保健、可口可樂、飛利浦醫(yī)療保健和其他大公司。

  根據(jù)美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)上周發(fā)布的一份報告,OTORIO的研究人員在IR615路由器上總共發(fā)現(xiàn)了13個漏洞。

  該列表包括嚴(yán)重的跨站請求偽造(CSRF)、遠(yuǎn)程代碼執(zhí)行、命令注入和弱密碼策略問題,以及嚴(yán)重程度不正確的授權(quán)和跨站腳本(XSS)漏洞。

  CISA警告說,惡意行為者可能會利用這些漏洞完全控制受影響的設(shè)備,并攔截通信,以竊取敏感信息。

  OTORIO告訴《安全周刊》,它已經(jīng)識別出數(shù)千臺暴露在互聯(lián)網(wǎng)上的InHand路由器可能容易受到攻擊,但該公司指出,從互聯(lián)網(wǎng)上利用路由器需要對其web管理門戶進(jìn)行認(rèn)證。攻擊者可以使用默認(rèn)憑證對設(shè)備進(jìn)行身份驗(yàn)證,或者利用暴力攻擊來獲取登錄憑證。路由器的弱口令策略和一個可以用來枚舉所有有效用戶帳戶的漏洞使暴力破解攻擊變得容易。

  這家網(wǎng)絡(luò)安全公司警告說,攻擊者可能會利用這些漏洞潛入某個組織。從InHand設(shè)備,攻擊者可以轉(zhuǎn)移到受害者網(wǎng)絡(luò)中的其他工業(yè)系統(tǒng)。

  “攻擊者可能濫用遠(yuǎn)程代碼執(zhí)行漏洞,通過運(yùn)行CLI命令在設(shè)備上獲得第一個立足點(diǎn);在設(shè)備上植入第一個后門作為持久潛伏階段;并開始掃描內(nèi)部組織網(wǎng)絡(luò),以提高攻擊者的特權(quán),并轉(zhuǎn)移到網(wǎng)絡(luò)上的敏感資產(chǎn),”O(jiān)TORIO滲透測試人員Hay Mizrachi解釋道。“最終目標(biāo)是在組織中獲得Domain Admin特權(quán)。當(dāng)然,如果有其他敏感網(wǎng)絡(luò),如OT網(wǎng)絡(luò),攻擊者可以試圖獲得立腳點(diǎn),擾亂產(chǎn)品線的日常功能,從而造成額外的損害和財務(wù)成本?!?/p>

  2020年11月,OTORIO通過CISA向InHand Networks報告了其發(fā)現(xiàn)。然而,CISA在其報告中表示,該供應(yīng)商“尚未回應(yīng)與中國鋼鐵工業(yè)協(xié)會CISA合作以減少這些漏洞的請求?!盋ISA提供了一些通用的緩解措施,以幫助受影響的組織減少被利用的風(fēng)險。

  SecurityWeek已經(jīng)聯(lián)系了InHand Networks征求意見,發(fā)稿時尚未得到回復(fù)。

  InHand Network網(wǎng)站顯示,該公司是自主研發(fā)制造物聯(lián)網(wǎng)通信設(shè)備產(chǎn)品的企業(yè),專注于機(jī)器設(shè)備間通信技術(shù)的行業(yè)應(yīng)用及工業(yè)信息化,主要從事機(jī)器設(shè)備間聯(lián)網(wǎng)產(chǎn)品的研發(fā)、制造及銷售,面向企業(yè)客戶提供機(jī)器通信網(wǎng)絡(luò)(M2M)的設(shè)備聯(lián)網(wǎng)產(chǎn)品及解決方案。公司主要向客戶提供包括工業(yè)以太網(wǎng)交換機(jī)、無線工業(yè)路由器、無線數(shù)據(jù)終端、無線傳感網(wǎng)產(chǎn)品、物聯(lián)網(wǎng)“設(shè)備云”平臺、物聯(lián)網(wǎng)智能網(wǎng)關(guān)、智能配電網(wǎng)線路狀態(tài)監(jiān)測系統(tǒng)及物聯(lián)網(wǎng)信息安全產(chǎn)品等在內(nèi)的機(jī)器設(shè)備通信聯(lián)網(wǎng)產(chǎn)品,為客戶提供覆蓋廣泛的機(jī)器通信網(wǎng)絡(luò)解決方案。公司可為客戶提供專為設(shè)備聯(lián)網(wǎng)的云計算平臺,支持多種設(shè)備的接入和數(shù)據(jù)的匯聚,為客戶提供機(jī)器設(shè)備數(shù)據(jù)分析和數(shù)據(jù)應(yīng)用平臺。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。