Компания Siemens выпустила обновление прошивки для ряда продуктов серии Building Automation. В рамках обновления ликвидирована уязвимость, которая позволяет злоумышленнику осуществлять XSS-атаки. Уязвимость обнаружил исследователь информационной безопасности Адитья Суд.
Уязвимость была зафиксирована в веб-сервере OZW, встроенном в систему автоматизации для зданий Synco и иную продукцию для удаленного мониторинга и менеджмента устройств, осуществляющих контроль над строительными процессами.
Ошибкой затронуты коммуникационные модули OZW672 и OZW772, находящиеся под управлением прошивки версий до 6.00. У злоумышленника есть возможность воспользоваться уязвимостью, но для этого нужно заставить пользователя осуществить переход по ссылке, сформированной специальным образом.
Использование уязвимости дает хакеру возможность перенаправлять пользователей на фишинговые сайты, похищать информацию и загружать на устройства жертв вредоносное программное обеспечение.
Адитья Суд обратил внимание на возможность проведения целевых кибератак на пользователей SCADA-систем. Как считает специалист, злоумышленник сможет без труда заставить пользователя осуществить переход по сформированной специальным образом ссылке на вредоносную веб-страницу, где будет проведена кибератака.
Уязвимость в версии прошивки 6.00 была устранена производителем. Все пользователи должны осуществить установку обновления, чтобы предотвратить вероятное использование уязвимости.