ICS-CERT poinformował o nowych podatnościach:
Producent: Hirschmann Automation Produkty: Classic Platform Switches
Skutki wykorzystania podatności:
- przejęcie sesji internetowych,
- podszywanie się pod prawowitego użytkownika,
- otrzymywanie poufnych informacji
- uzyskiwanie dostępu do urządzenia
Opis podatności:
ujawnienie informacji za pomocą łańcuchów zapytania w żądaniu GET, jawne przekazywanie wrażliwych informacji, niewystarczająca siła szyfrowania, niewłaściwe ograniczenie zbyt wielu prób uwierzytelnienia
Podatności:
- CVE-2018-5465 używanie niezmiennego identyfikatora sesji w interfejsie internetowym może umożliwić atakującemu przejęcie sesji
- CVE-2018-5467 ujawnienie informacji w zapytaniach przez interfejs internetowy może umożliwić osobie atakującej podszywanie się pod prawowitego użytkownika.
- CVE-2018-5471 zastosowanie jawnej transmisji wrażliwych informacji może umożliwić osobie atakującej uzyskanie poufnych informacji dzięki skutecznemu atakowi typu man-in-the-middle.
- CVE-2018-5461 niedostateczna siła szyfrowania w interfejsie internetowym może umożliwić osobie atakującej uzyskanie poufnych informacji za pomocą skutecznego ataku man-in-the-middle.
- CVE-2018-5469 niewłaściwe ograniczenie prób uwierzytelniania w interfejsie internetowym może pozwolić osobie atakującej na uwierzytelnianie metodą brute force.
Lista produktów których dotyczą podatności:
Classic Platform Switches:
RS wszystkie wersje,
RSR wszystkie wersje,
RSB wszystkie wersje,
MACH100 wszystkie wersje,
MACH1000 wszystkie wersje,
MACH4000 wszystkie wersje,
MS wszystkie wersje, i
OCTOPUS wszystkie wersje.
Więcej informacji na stronie: https://ics-cert.us-cert.gov/advisories/ICSA-18-065-01
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny