Objavljeno: 30.3.2017 16:00

Spletne ranljivosti v pomivalnih strojih

Moderno postaja čim več naprav priključiti v internet, pa čeprav za to sploh ni nobenega pametnega razloga, razen tega da je pač mogoče. In skoraj vedno se to maščuje, saj vsaka povezljivost odpira dodatne možnosti za vdor in ranljivosti. Miele je dobil idejo, da bi v internet priključil industrijski pomivalec laboratorijske steklovine.

Ranljivost je odkril raziskovalec Jens Regel, ki jo je tudi pojasnil. Pomivalec Miele Professional PG 8528 ima vgrajen spletni strežnik PST10 WebServer, ki posluša promet na vratih 80. Toda izkazalo se je, da je ranljiv na tako imenovani napad directory traversal, pri katerem lahko napadalec pridobi nepooblaščen dostop do drevesne strukture na disku.

Če torej do omenjenega pomivalca dostopimo in mu pošljemo ukaz /../../../../../../../../../../../../etc/shadow se lahko prikopljemo do datoteke, v kateri so zapisana zgoščena gesla (shadow password file) in številnih drugih datotek.

Popravka še ni. V resnici sploh ni znano, kakšen spletni strežnik uporablja Mielejev aparat, proizvajalec pa nima centralnega sistema za prijavljanje varnostnih ranljivosti. Dokler Miele problema ne reši, je rešitev odklop z interneta. Ker v resnici kakšne velike dodatne vrednosti od tega tako ali tako ni.

CVE-2017-7240

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji