Ecava Sdn Bhd IntegraXor产品项目信息泄露漏洞

最新推荐文章于 2022-12-26 21:20:25 发布
最新推荐文章于 2022-12-26 21:20:25 发布
阅读量1.5k 收藏
点赞数
分类专栏: 工业信息安全 文章标签: 漏洞 产品 信息安全 自动化 web服务器

原文地址:http://www.ics-cert.com.cn/?p=140


概述

NCCIC/ICS-CERT从Zero Day Initiativea (ZDI)得到了一份报告,关于Ecava Sdn Bhd IntegraXor的项目目录信息泄露漏洞。这一漏洞是由安全研究者Alphazorx aka technically.screwed报告给ZDI的。Ecava Sdn Bhd已经发布了更新来修补这一漏洞。这一漏洞可以被远程利用。

 

影响产品

如下版本的Ecava Sdn Bhd IntegraXor将会被影响:

  • Ecava Sdn Bhd IntegraXor - 4.1.4360及早期版本。.

 

影响范围

攻击者可以构建一个特殊的URL来下载项目目录中的文件,从而影响了系统的保密性。

对于每个组织机构的影响取决于每个组织特有的多方面因素。NCCIC/ICS-CERT建议各组织机构基于自身的操作环境、架构和产品情况来评估这些漏洞产生的影响。

 

背景

Ecava Sdn Bhd是一家马来西亚的软件开发公司,主要提供IntegraXor的SCADA产品。EcavaSdn Bhd公司专注于工厂自动化和过程自动化解决方案。

受影响的产品IntegraXor是一套工具,用来为SCADA系统,创建和运行基于Web的人机交互环境。IntegraXor当前主要应用在流程控制领域,遍及38个国家,主要为英国、美国、澳大利亚、波兰、加拿大和爱沙尼亚。

 

漏洞特征

 

漏洞概述

未授权的文件访问b

IntegraXor没有正确的设置项目目录中的文件访问权限。攻击者可以构建特殊的URL从系统项目目录来下载项目备份文件,而不需要任何的授权。

本漏洞的漏洞编号为CVE-2014-0752c。CVSS v2的分数为7.5;CVSS向量字符串为(AV:N/AC:L/Au:N/C:P/I:P/A:P).d

 

漏洞详细信息

 

漏洞利用

漏洞可以被远程利用

 

Exp代码

没有发现针对此漏洞的攻击代码。

 

难度

很低技术的攻击者就可以利用此漏洞。

 

解决办法

Ecava Sdn Bhd已经发布了客户注意事项,详细的介绍了这一漏洞,并为用户提供了解决办法。Ecava Sdn Bhd建议用户从他们的支持网站上下载并安装更新版的IntegraXorSCADA Server 4.1.4369:

http://www.integraxor.com/download/beta.msi?4.1.4369

更多的信息请参考Ecava的漏洞记录:

http://www.integraxor.com/blog/category/security/vulnerability-note/

 

NCCIC/ICS-CERT鼓励所有者采取额外的措施来保护这些风险及其他的安全风险。

  • 尽可能的少暴露控制系统设备或系统自身的网络,并确保他们不被互联网访问。
  • 在本地控制系统网络和远程设备之间部署防火墙,并将控制网络与企业网络隔离。
  • 如果需要远程访问,采用安全的方法,例如VPN,VPN被认为是唯一安全的访问方式。

NCCIC/ICS-CERT当然还提供了针对工业控制信息安全方面的建议在此路径下:

http://ics-cert.us-cert.gov/content/recommended-practices.很多建议是可以读的,并且可以下载,包括《采用纵深防御策略来提高工业控制系统信息安全》。NCCIC/ICS-CERT 建议各部门进行在部署安全防御时,先适当的进行安全分析和风险评估。

其他相关的解决方案指导和建议发布在了NCCIC/ICS-CERT的技术信息文章上,ICS-TIP-12-146-01Be,该文章可以在NCCIC/ICS-CERT的网站上下载。

各组织机构如果发现了一些有恶意嫌疑的程序,可以将其报告给NCCIC/ICS-CERT来跟踪和对应这些意外。

 

参考文档



ICS-CERT
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SDN项目:小型SDN项目
02-05
在这个小型SDN项目中,我们将探讨如何利用OpenFlow协议、Mininet仿真环境以及Floodlight控制器来实现一个基本的SDN网络。 首先,了解SDN的基本概念是必要的。在传统网络中,路由器和交换机等设备负责数据包的转发,...
基于Web SCADA平台构建数字化车间的MES系统
专注一款Web技术的SCADA平台的研发、应用与推广
12-01 2814
​一个基于IGX WEB SCADA(WEB SCADA)所构建的数字化车间MES系统,通过系统的上线及使用,系统整体达到了客户的预期效果,通过系统将客户方传统的人管人的模式,经过业务流程的梳理、系统固化,实现了多部门间基于流程相互驱动,通过业务流程驱动人员及部门间的沟通与协调,实现了企业线上与线下、信息化与自动化的融合。
基于IGX Web SCADA平台构建 - 污水处理厂监控系统
专注一款Web技术的SCADA平台的研发、应用与推广
11-02 601
污水处理即废水处理,是从废水中去除污染物的过程。这里的“污水”一词是指主要来自家庭污水的废水的处理。这确实是解决水污染环境问题的途径之一。废水的“产生”被认为与现代化进程成正比。因此,随着全球经济的快速发展和人口的快速增长,需要处理的废水也就越多。
Ecava公司IntegraXor 缓冲区溢出漏洞
ICS-CERT
01-27 1583
====================================================================== 原文地址:http://ics-cert.us-cert.gov/alerts/ICS-ALERT-14-015-01 译文地址:http://www.ics-cert.com.cn/?p=167 译文地址: 译文作者:ICS-CERT =====
基于Web SCADA平台构建实时数字化产线 - 初篇
专注一款Web技术的SCADA平台的研发、应用与推广
10-30 599
基于3D模型的数字化产线的构建思路。
基于Web SCADA平台的食品饮料行业数字化系统
专注一款Web技术的SCADA平台的研发、应用与推广
11-11 524
IGX Web SCADA 平台在食品饮料行业的应用与推广,实现实时数据采集、监视及控制,与MES系统集成、使质量、工艺、成本等得到实时的监控,将影响成本的因素在第一时间发现,进而降低质量成本;
CytronTechnologies.github.io:Cytron Technologies Sdn Bhd的公共github网站
05-19
这可能包括公司介绍、产品信息、技术文档、示例代码、教程等。用户无需购买额外的服务器空间,只需将HTML、CSS和JavaScript文件上传到特定的GitHub仓库,即可发布网站。 【标签】"website downloads JavaScript" ...
TR-512 SDN 核心信息模型
11-19
**SDN核心信息模型概述** SDN(Software Defined Networking,软件定义网络)是一种网络架构,它将网络控制层与数据转发层分离,使得网络管理、配置和策略制定更加灵活。在SDN中,核心信息模型(CIM,Core ...
ik2220-SDN-NFV:SDN和NFV课程项目
02-05
ik2220-SDN-NFV软件定义的网络和网络功能虚拟化POX控制器,Mininet和Click模块化路由器这里是拓扑: 打开两个不同的终端。 使用以下命令启动POX控制器: $ sudo make app启动Mininet拓扑$ sudo make topo要关闭,只...
基于最新WEB技术的Web SCADA平台构建数字化车间
专注一款Web技术的SCADA平台的研发、应用与推广
09-27 2683
通过易用的”拖拉拽“功能快速且低成本的构建SCADA平台,再基于后端服务与前端JS脚本从而构建更加强大的企业SCADA系统,MES系统,实现与ERP等企业现有信息化系统的数据互联互通。
什么是Web SCADA系统?
最新发布
专注一款Web技术的SCADA平台的研发、应用与推广
12-26 2951
SCADA(Supervisory Control And Data Acquisition)系统,即数据采集与监视控制系统
(ICSA-14-016-01)Ecava IntegraXor缓冲区溢出漏洞
ICS-CERT
01-29 1292
====================================================================== 原文地址:http://ics-cert.us-cert.gov/advisories/ICSA-14-016-01 译文地址:http://www.ics-cert.com.cn/?p=177 译文地址: 译文作者:ICS-CERT ======
基于最新WEB技术的Web SCADA构建“智慧煤矿”平台
专注一款Web技术的SCADA平台的研发、应用与推广
10-22 2449
将物联网、移动互联网、云计算、大数据、人工智能、GIS等技术与煤炭安全生产的各个环节深度融合,构建企业安全生产、管理的可视化、智能化综合性管控平台,实现对煤炭生产过程中的数据实时精准采集、高可靠传输、资源集成融合、智能化分析与处理等,满足多维感知、实时互联、协同控制、智能预警等需求,覆盖煤矿安全生产的全流程,提升管控能力,助力煤炭企业实现精细化开采、安全化生产、智慧化管理。
项目配置不当引发了数据泄露,人已裂开!!(建议收藏)
冰河的专栏
09-02 9026
项目配置不当引起的数据泄露问题,看冰河如何带你解决这类问题,强烈建议收藏!!
基于HTML5+CSS3的IGX Web SCADA在楼宇自控系统的应用
weixin_33810302的博客
11-16 1251
基于HTML5+CSS3的IGX Web SCADA在楼宇自控系统的应用 楼宇自动化控制采用的是计算机集散控制,所谓计算机集散控制就是分散控制集中管理。它的分散控制器通常采用直接数字控制器( DDC),利用上位计算机进行画面的监控和管理。主要手段是动画、曲线、文本、数据库、脚本、和各种专用控件等。 楼宇自动化包括:空调与通风监控系统、给排...
施耐德ClearSCADA不可控资源消耗漏洞
ICS-CERT
01-18 1712
=================================================================================== 原文地址:http://ics-cert.us-cert.gov/advisories/ICSA-14-014-01 译文地址:http://www.ics-cert.com.cn/?p=150 译文地址:http
List of free and open source SCADA software
向远处看的专栏
02-25 4995
I have always wondered what systems are used to assist utility operators in powering, managing and automating the utilities. When I mention utilities, I’m thinking of water, electricity, oil, gas. Photo by Team New Orleans, US Army Corps of Engineers. How
常见信息泄露漏洞风险与解决方案
晓川吖的专栏
09-09 8701
1.概述 信息泄露漏洞,是指由于技术人员疏忽,在开发或者运维过程当中,把敏感信息不恰当的展示给了用户所产生的安全漏洞。 一旦所产生的信息泄露问题被恶意攻击者利用,会导致网站用户信息泄露,甚至会导致服务器被入侵。 漏洞类型统计: 2.安全事件 2014年携程被曝安全支付日志可遍历下载漏洞 导致大量用户银行卡信息泄露 携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。 同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录
SDN开源项目引领网络技术革新:从OpenStack到Opendaylight
文章列举了多个SDN相关的开源项目,如OVS(Open vSwitch)、Pica8、Indigo、Floodlight、NOX、OpenStack、Opendaylight等,并介绍了这些项目SDN控制器、虚拟交换机、协议栈以及云基础设施平台等方面的作用。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值