Tecson油罐监控设备漏洞安全通告

发布时间 2019-06-13

漏洞编号和级别


CVE编号:CVE-2019-12254,危险级别:严重,CVSS分值厂商自评:9.8,官方未评定


影响版本


受影响的版本


适用于LX-Net、LX-Q-Net、e-litro net、SmartBox4 LAN和SmartBox4 pro LAN油罐监控产品。


漏洞概述


Tecson是一家德国的油罐测量系统制造商,产品有油罐显示器、液位探头和远程监控等。


Tecson的油罐监控设备中存在一个严重的漏洞,该漏洞允许攻击者在不需要凭证的情况下访问基于web的配置界面。攻击者只需要知道web服务器上的特定URL和有效请求的格式,就可以访问配置接口并查看和修改设置。黑客可完全访问设备的基于web的配置界面,如密码、报警参数和输出状态等设置。这可能会对设备的运行产生负面影响,有助于黑客进一步攻击工业控制过程。


漏洞验证


暂无POC/EXP。


修复建议


目前厂商已发布新版本以修复漏洞,升级固件版本到6.3。另外,可以通过禁用端口转发和远程访问设备来防止攻击。


参考链接


https://mp.weixin.qq.com/s/fB2VBlvJy9tgTkrey0hdkQ