شرکت زیمنس در خصوص استفاده از ActiveX به شرکت‌ها و صنایع هشدار داد

شرکت زیمنس این هفته چند آسیب‌پذیری را وصله کرده و به مشتریان خود در خصوص استفاده از ActiveX در محصولات صنعتی هشدار داده است. ActiveX مایکروسافت و کنترل‌های مربوط به آن امکان ایجاد انواع مختلفی از محتوا بر روی وب‌سایت‌ها را فراهم می‌کند و به کاربران اجازه می‌دهد با المان‌های مختلفی بر روی وب‌سایت در تعامل باشند. با این‌حال ثابت شده که ActiveX دارای مشکلات امنیتی زیادی است و در حال حاضر فقط در اینترنت اکسپلورر پشتیبانی می‌شود. گفتنی است  در مرورگرهای دیگری مانند کروم، سافاری و فایرفاکس پشتیبانی نمی‌شود.

مایکروسافت حتی به کاربران توصیه کرده تا در اینترنت اکسپلورر ۱۱ ویژگی‌های امنیتی را که از دانلود و اجرای کنترل‌های ActiveX جلوگیری می‌کند، غیرفعال نکنند. مهاجمان سایبری می‌توانند از ActiveX بهره‌برداری کرده و در مورد کاربر اطلاعاتی را از سیستم جمع‌آوری کنند، بدافزار نصب کرده و یا کنترل دستگاه را به‌طور کامل در دست بگیرند. برخی از محصولات صنعتی زیمنس مبتنی بر ActiveX هستند و لازم است تا کاربران برای اجرای این مولفه‌ها از اینترنت اکسپلورر استفاده کنند. 

با این حال زیمنس به مشتریان خود هشدار داده استفاده از اینترنت اکسپلورر برای بازدید از وب‌سایت‌های غیرقابل‌اعتماد می‌تواند ریسک امنیتی به دنبال داشته باشد. زیمنس توصیه کرده برای بازدید از وب‌سایت‌هایی به غیر از محصولات این شرکت، از مرورگرهای دیگری استفاده کنند که مبتنی بر ActiveX نیست. زیمنس همچنین به مشتریان خود اطلاع داده که این هفته چند آسیب‌پذیری دور زدن احرازهویت را در سوئیچ‌های SCALANCE X وصله کرده است. به گفته‌ی زیمنس یک مهاجم با دسترسی به شبکه و بدون احرازهویت می‌تواند به دستگاه نفوذ کند. برای بهره‌برداری از این آسیب‌پذیری‌ها کافی است مهاجم یک درخواست جعلی GET با یک URL مشخص برای اینترفیس‌های پیکربندی مبتنی بر وب را ارسال کند.

این آسیب‌پذیری در سوئیچ‌های SCALANCE X-300 و X408 وصله شده و زیمنس برای دیگر دستگاه‌های تحت تاثیرقرارگرفته نیز راه‌کارهای امنیتی را ارائه کرده است. زیمنس همچنین یک آسیب‌پذیری بحرانی را در SINEMA Server وصله کرده که به یک کاربر احرازهویت‌شده با امتیازات سطح پایین این اجازه را می‌دهد تا به‌روزرسانی ثابت‌افزار و یا سایر عملیات را بر روی تجهیز انجام دهد. در مشاوره‌نامه امنیتی زیمنس یک آسیب‌پذیری مهم ارتقاء امتیاز محلی در TIA Portal نیز وصله شده که به مهاجم اجازه می‌دهد تا کدهایی را با امتیازات SYSTEM اجرا کند. همچنین یک آسیب‌پذیری با شدت متوسط مربوط به کنترل دسترسی در SINAMICS PERFECT HARMONY وصله شده است. 

منبع

پست‌های مشابه

Leave a Comment