ControlByWeb工业气象站控制器漏洞安全通告
发布时间 2019-01-21漏洞编号和级别
CVE编号:CVE-2018-18881,危险级别:高危,CVSS分值:厂商自评:7.6,官方未评定
CVE编号:CVE-2018-18882,危险级别:高危,CVSS分值:厂商自评:7.6,官方未评定
影响版本
ControlByWeb ControlByWeb X-320M 1.05版本及以前版本。
漏洞概述
Xytronix Research&Design ControlByWeb X-320M是美国Xytronix Research&Design公司的一款支持网络的气象站控制器。该产品可以将天气数据发布到专门的气象服务,如果超过指定的参数,它可以发送电子邮件和短信通知,并且可以远程激活公司制造的其他产品的继电器。
ControlByWeb的以太网I / O产品配有内置Web服务器,可通过Web浏览器进行访问。其产品可以轻松集成到工业自动化和SCADA系统中,或者可以作为独立设备使用。
CVE-2018-18881
Xytronix Research&Design ControlByWeb X-320M在实现中存在身份验证安全漏洞。攻击者可利用该漏洞造成拒绝服务。
该设备的Web-Enabled Instrumentation-Grade Data Acquisition模块受到拒绝服务(DoS)漏洞的影响,该漏洞可被利用来破坏设备上通过特定网络设置进行的所有通信。具体来说,攻击者可以将setup.html页面中的“IP过滤器范围1”选项从255.255.255.255设置为0.0.0.0,这会导致持续的DoS条件阻止访问设备除非执行恢复出厂设置。
CVE-2018-18882
Xytronix Research&Design ControlByWeb X-320M中存在跨站脚本漏洞,该漏洞源于程序没有正确地验证输入。远程攻击者可利用该漏洞执行代码。
它会影响同一HTML页面上的“站点描述”输入字段。攻击者可能会将恶意脚本注入此字段,并在合法用户访问设备的状态页时执行。
修复建议:
ControlByWeb发布了1.06版本来修补漏洞:https://www.controlbyweb.com/firmware/X320M_V1.06_firmware.zip。
参考链接:
https://ics-cert.us-cert.gov/advisories/ICSA-19-017-03
https://www.controlbyweb.com/firmware/X320M_V1.06_firmware.zip
https://www.securityweek.com/serious-flaws-found-controlbyweb-industrial-weather-station
京公网安备11010802024551号