Een beveiligingslek in een veel gebruikt industrieel controlesysteem maakt het mogelijk voor aanvallers om systemen en installaties fysiek te beschadigen, zo waarschuwt het Amerikaanse Industrial Control Systems Cyber Emergency Response Team (ICS-CERT). De 'path traversal' kwetsbaarheid bevindt zich in het Niagara AX Framework van SCADA-leverancier Tridium.
Hierdoor kan een aanvaller met een geldig gebruikersaccount of gastaccount zijn rechten verhogen. Volgens ICS-CERT kan de kwetsbaarheid voor verlies van integriteit, gegevens en mogelijk ook fysieke schade zorgen als de software wordt gebruikt voor het aansturen van fysieke processen.
Patch
Een ander gevolg is dat aanvallers de veiligheid van faciliteiten kunnen compromitteren in het geval NiagaraAX voor de toegangscontrole wordt gebruikt. Tridium heeft inmiddels een beveiligingsupdate uitgebracht.
Een aparte update voor Niagara Enterprise Security is nog in de maak. Die zal naar alle verwachting in het tweede kwartaal van dit jaar gereed zijn, zo stelt de fabrikant.
Vorig jaar kreeg de software ook al met een path traversal-kwetsbaarheid te maken. Hierdoor kan een gebruiker op eenvoudige wijze toegang tot mappen en bestanden krijgen waar hij eigenlijk geen toegang toe hoort te hebben, maar wat niet door de software wordt afgevangen.
Deze posting is gelocked. Reageren is niet meer mogelijk.