Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Уязвимости в тепловизионных камерах InfiRay ставят под угрозу промышленные процессы (http://txgate.io:443/showthread.php?t=12169)

Artifact 03-06-2025 10:10 AM

Уязвимости были обнаружены фирмой SEC Consult еще в феврале 2021 года.
https://www.securitylab.ru/upload/ib...c847ba4aaa.png
SEC Consult раскрыла подробности об уязвимостях в письме во вторник. По мнению компании, уязвимости являются прямым следствием небезопасного кода, конфигурации и устаревших программных компонентов встроенной микропрограммы.
SEC Consult также обнаружила несколько векторов атак, которые могут позволить злоумышленникам удаленно выполнять вредоносный код.
InfiRay – китайский производитель оптических компонентов, в основном занимающийся инфракрасными и тепловизионными решениями. Продукция компании продается в 89 странах и регионах по всему миру.
Так как решения компании широко распространены, обнаруженные в них уязвимости могут стать точкой входа в промышленные системы управления (I CS ) и сети диспетчерского контроля и сбора данных ( SCADA ).
Специалисты из SEC Consult смогли обнаружить пять критических уязвимостей, затрагивающих камеры Infiray IRAY-A8Z3:
<ol style="list-style-type: decimal"><li>Жестко закодированные учетные данные в веб-приложении камеры. Так как их нельзя изменить или деактивировать, эксперты посчитали их бэкдором.
</li>
<li>Интерфейс веб-сервера камеры содержит конечную точку, через которую злоумышленник может выполнять произвольные команды, манипулируя параметром URL "cmd_string". Это позволяет хакеру войти в систему, используя жестко закодированные учетные данные.
</li>
<li>Возможность атаки с переполнением буфера, которую можно провести с помощью вызова функции strcpy() без предварительной проверки длины строки.
</li>
<li>Любой пользователь, оказавшийся в одной локальной сети с камерой, может выполнять произвольные команды от имени суперпользователя.
</li>
<li>Камеры имеют несколько устаревших программных компонентов, содержащих в себе уязвимости.</li>
</ol>В ходе своего расследования, SEC Consult несколько раз пыталась связаться с InfiRay, отправив им письмо с рекомендациями в апреле 2021 года. Однако производитель производитель оптических компонентов так и не ответил на ее запросы.


All times are GMT. The time now is 07:06 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.