首頁 > 安全研究 > 安全通報 > 安全通告

ControlByWeb工業氣象站控制器漏洞安全通告

發布時間 2019-01-21

漏洞編號和級別


CVE編號:CVE-2018-18881,危險級別:高危,CVSS分值:廠商自評:7.6,官方未評定

CVE編號:CVE-2018-18882,危險級別:高危,CVSS分值:廠商自評:7.6,官方未評定


影響版本


ControlByWeb ControlByWeb X-320M 1.05版本及以前版本。


漏洞概述


Xytronix Research&Design ControlByWeb X-320M是美國Xytronix Research&Design公司的一款支持網絡的氣象站控制器。該產品可以將天氣數據發布到專門的氣象服務,如果超過指定的參數,它可以發送電子郵件和短信通知,并且可以遠程激活公司制造的其他產品的繼電器。


ControlByWeb的以太網I / O產品配有內置Web服務器,可通過Web瀏覽器進行訪問。其產品可以輕松集成到工業自動化和SCADA系統中,或者可以作為獨立設備使用。


CVE-2018-18881


Xytronix Research&Design ControlByWeb X-320M在實現中存在身份驗證安全漏洞。攻擊者可利用該漏洞造成拒絕服務。


該設備的Web-Enabled Instrumentation-Grade Data Acquisition模塊受到拒絕服務(DoS)漏洞的影響,該漏洞可被利用來破壞設備上通過特定網絡設置進行的所有通信。具體來說,攻擊者可以將setup.html頁面中的“IP過濾器范圍1”選項從255.255.255.255設置為0.0.0.0,這會導致持續的DoS條件阻止訪問設備除非執行恢復出廠設置。


CVE-2018-18882


Xytronix Research&Design ControlByWeb X-320M中存在跨站腳本漏洞,該漏洞源于程序沒有正確地驗證輸入。遠程攻擊者可利用該漏洞執行代碼。


它會影響同一HTML頁面上的站點描述輸入字段。攻擊者可能會將惡意腳本注入此字段,并在合法用戶訪問設備的狀態頁時執行。


修復建議:


ControlByWeb發布了1.06版本來修補漏洞:https://www.controlbyweb.com/firmware/X320M_V1.06_firmware.zip。


參考鏈接:


https://ics-cert.us-cert.gov/advisories/ICSA-19-017-03

https://www.controlbyweb.com/firmware/X320M_V1.06_firmware.zip

https://www.securityweek.com/serious-flaws-found-controlbyweb-industrial-weather-station

上一篇 下一篇