WAGO修复了威胁工业设备数据泄露的配置导出缺陷

安全研究人员披露了一个漏洞,该漏洞可能导致WAGO产品中的敏感数据泄露和凭据失窃。WAGO总部位于德国,在全球设有分支机构,致力于为工业系统、云和边缘工程打造网络解决方案。产品包括PLC控制器、触摸屏、传感器和工业开关。1月16日,ONEKEY的研究人员发布了一份安全公告,探讨了影响一系列WAGO解决方案的两个问题。虽然在WAGO系列PFC100配置API中检测到一个命令注入漏洞被证明是误报,但也标记了一个路径遍历错误——这指向一个可疑的PHP文件和单独的安全漏洞。

据研究人员称,攻击者可以使用模拟设备利用系统中未经身份验证的配置导出漏洞。

该漏洞被追踪为CVE-2022-3738,在WAGO Web管理界面文件download.php中被描述为PHP错误,因为某些行使用多行注释进行注释。

“这有效地禁用了本应在这些线路上执行的身份验证和授权检查,”该团队表示。“成功的利用可能允许攻击者下载正在运行的固件或VPN配置的副本。”

ONEKEY的首席技术官兼创始人Florian Lukavsky在接受采访时表示,泄漏可能包括VPN客户端使用的加密私钥、用户名、密码哈希值以及网络或PLC设置等配置信息。

但是,该漏洞仅达到4.3的中等CVSS严重性评分。

Lukavsky指出,成功利用的先决条件是操作员在最近一次重启后导出了目标数据。但他还观察到,“由于这些设备通常在工业环境中运行,因此重启频率可能很低,从而增加了导出文件存在的可能性。

“如果不是因为非重启要求,人们可能会争辩说这对机密性有很大影响,”Lukavsky补充道。“这会将整体CVSS基本分数提高到6.5,但仍会保持在中等水平,因为系统的完整性和可用性不会直接受到漏洞的影响。我们没有找到重启后访问数据的方法,因此我们不知道有任何规避行为。”

ONEKEY表示,上述路径遍历问题已变得“无用”,因为它“只能由具有管理权限的用户触发”。

建议用户更新受影响的WAGO产品,包括PFC100、PFC200、Edge Controller和各种触摸屏型号。

这些错误已于2022年10月报告给WAGO PSIRT。

发表评论

评论已关闭。

相关文章