GE устранила опасные уязвимости в системе мониторинга MDS PulseNET
В решении General Electric (GE) MDS PulseNET обнаружен ряд уязвимостей, совместная эксплуатация которых позволяет повысить привилегии и извлечь информацию из системы. Проблемы затрагивают версии PulseNET 3.2.1 и ниже, а также PulseNET Enterprise (версия 3.2.1 и более ранние).
Первая уязвимость (CVE-2018-10611) заключается в том, что неавторизованный атакующий может использовать порт RMI (Java Remote Method Invocation) для запуска приложения или выполнить произвольный код через Web Services. Вторая уязвимость (CVE-2018-10613) предоставляет возможность осуществить XXE-атаку и извлечь данные из системы на базе Windows. Наконец, третья уязвимость (CVE-2018-10615) позволяет извлечь или удалить файлы на системе.
General Electric устранила вышеописанные уязвимости в версии PulseNET Version 4.1. Соответствующие обновления доступны на сайте производителя.
General Electric (GE) MDS PulseNET – система для мониторинга устройств и сетей промышленной связи, развернутых в секторах энергетики, очистки воды и сточных вод во всем мире.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш