Blog

Jun 10, 2023

Kritische Schwachstellen machen das Parkmanagementsystem Hackerangriffen ausgesetzt

Fast ein Dutzend Schwachstellen wurden in der Parkplatzverwaltung gefunden

Fast ein Dutzend Schwachstellen wurden in einem Parkraummanagementsystem des italienischen Unternehmens Carlo Gavazzi gefunden, das elektronische Steuerungskomponenten für die Gebäude- und Industrieautomation herstellt.

Von

Flipboard

Reddit

Pinterest

WhatsApp

WhatsApp

Email

Fast ein Dutzend Schwachstellen wurden in einem Parkraummanagementsystem des italienischen Unternehmens Carlo Gavazzi gefunden, das elektronische Steuerungskomponenten für die Gebäude- und Industrieautomation herstellt.

Die Schwachstellen wurden von Forschern des industriellen Cybersicherheitsunternehmens Claroty in den Überwachungs-Gateway- und Controller-Produkten CPY Car Park Server und UWP 3.0 von Carlo Gavazzi entdeckt. Der Anbieter hat Anfang des Jahres Patches für die betroffenen Produkte veröffentlicht.

Das in Deutschland ansässige Unternehmen [email protected], das die Offenlegung von Schwachstellen koordiniert, die sich auf die Produkte des industriellen Kontrollsystems (ICS) und der Betriebstechnologie (OT) europäischer Anbieter auswirken, hat eine Empfehlung veröffentlicht, in der die Probleme mit Carlo Gavazzi beschrieben werden. In der Empfehlung von [email protected] werden 11 Schwachstellen beschrieben, und die Behörde warnt davor, dass ein Angreifer sie ausnutzen könnte, um „vollständigen Zugriff auf die betroffenen Geräte zu erhalten“.

Vera Mens, die Sicherheitsforscherin von Claroty, die von [email protected] für die Meldung der Schwachstellen verantwortlich gemacht wird, sagte gegenüber SecurityWeek, dass es sich bei dem betroffenen UWP-Produkt um eine webbasierte Anwendung handelt, die für die Fernverwaltung von Gebäudeautomatisierungs-, Energiemanagement- und Parkplatzleitsystemen entwickelt wurde, die Fahrer bereitstellen mit Informationen zur Parkplatzverfügbarkeit innerhalb der Parkanlagen.

„Das UWP-Überwachungsgateway ist ein Mehrzweckgerät, das eine Vielzahl von Überwachungsservern betreiben kann, von denen jeder für einen anderen Zweck bestimmt ist“, erklärte Mens. „Zum Beispiel ist der CPY Car Park Server eine Funktion des UWP 3.0-Geräts, die zur Überwachung und Steuerung anderer Geräte auf einem Parkplatz dient, die den Überblick über verfügbare Parkplätze behalten. In diesem Beispiel gibt es auf jedem Parkplatz Sensoren, die erkennen, ob Ein Auto ist da. Die Sensoren melden sich beim CPY Car Park Server, der die Daten aggregiert, Analysen bereitstellt (z. B. Kapazität im Zeitverlauf) und den gesamten Vorgang orchestriert.“

Es wurde festgestellt, dass diese Produkte von kritischen Schwachstellen im Zusammenhang mit fest codierten Anmeldeinformationen, SQL-Injection, fehlender Authentifizierung, fehlerhafter Eingabevalidierung und Pfaddurchquerungen sowie mehreren schwerwiegenden Problemen betroffen sind. Diese Sicherheitslücken können ausgenutzt werden, um die Authentifizierung zu umgehen, Informationen abzurufen und Befehle auszuführen, sodass ein Angreifer die vollständige Kontrolle über das Zielsystem erlangen kann.

Glücklicherweise, so Mens, sei Claroty nicht bekannt, dass UWP-Geräte im Internet offengelegt würden, was bedeutet, dass ein Angreifer Zugriff auf das Zielnetzwerk erhalten müsste, um die Schwachstellen auszunutzen.

Allerdings könnte ein Angreifer, der Zugriff auf das Zielnetzwerk erhält, die Schwachstellen ausnutzen, um verschiedene Aktivitäten durchzuführen.

„Die Schwachstellen sind ausnutzbar und können zu verschiedenen Angriffsszenarien führen, einschließlich der Ausnutzung des Überwachungsgeräts und der Fälschung von Überwachungsdaten, der Steuerung verschachtelter Geräte wie Fernbedienungen und Sensoren, um einen physischen Prozess zu stören, und mehr“, erklärte Mens.

Der Forscher sagte, der Anbieter habe alle Schwachstellen schnell behoben. Laut [email protected] beheben UWP3.0 Version 8.5.0.3 und neuer sowie CPY Car Park Server Version 2.8.3 und neuer die Mängel. Die Cybersicherheitsbehörde hat außerdem einige allgemeine Empfehlungen zur Verhinderung dieser Art von Angriffen veröffentlicht.

Verwandt: Neue Schwachstellen ermöglichen Angriffe im Stuxnet-Stil auf Rockwell-SPS

Verwandt: Kritische Schwachstellen in AUVESY-Produkt gefunden, das von großen Industrieunternehmen verwendet wird

Verwandt: 1.000 Organisationen sind Remote-Angriffen durch FileWave-MDM-Schwachstellen ausgesetzt

Eduard Kovacs (@EduardKovacs) ist Redakteur bei SecurityWeek. Er arbeitete zwei Jahre lang als IT-Lehrer an einer High School, bevor er eine journalistische Karriere als Sicherheitsnachrichtenreporter bei Softpedia begann. Eduard hat einen Bachelor-Abschluss in Industrieinformatik und einen Master-Abschluss in Computertechnik für die Elektrotechnik.

Abonnieren Sie das E-Mail-Briefing von SecurityWeek, um über die neuesten Bedrohungen, Trends und Technologien sowie aufschlussreiche Kolumnen von Branchenexperten informiert zu bleiben.

Der Threat Detection and Incident Response Summit von SecurityWeek bringt Sicherheitsexperten aus der ganzen Welt zusammen, um Kriegsgeschichten über Sicherheitsverletzungen, APT-Angriffe und Bedrohungsinformationen auszutauschen.

Das CISO-Forum von Securityweek befasst sich mit Themen und Herausforderungen, die für heutige Sicherheitsverantwortliche am wichtigsten sind, und mit der Frage, wie die Zukunft als Hauptverteidiger des Unternehmens aussieht.

Sollte die KI-Zukunft in einer Sackgasse enden, wird sich die Cybersicherheitsbranche weiterhin stark auf traditionelle Ansätze verlassen, insbesondere auf solche, die von Menschen gesteuert werden. Allerdings wird es nicht ganz so weitergehen wie bisher. (Oliver Rochford)

Wenn Teams die Möglichkeit haben, Unternehmenssilos aufzubrechen und zu sehen und zu verstehen, was passiert, können sie den Schutz in ihrer zunehmend verteilten und vielfältigen Umgebung verbessern. (Matt Wilson)

Unabhängig davon, auf welchen Anwendungsfall sich Ihre Sicherheitsorganisation konzentriert, werden Sie wahrscheinlich Zeit und Ressourcen verschwenden und schlechte Entscheidungen treffen, wenn Sie nicht damit beginnen, Ihre Bedrohungslandschaft zu verstehen. (Marc Solomon)

Industriestandard-Frameworks und -Richtlinien verleiten Unternehmen oft zu der Annahme, dass die Bereitstellung weiterer Sicherheitslösungen zu einem besseren Schutz vor Bedrohungen führt. (Torsten George)

Mit proaktiven Schritten in Richtung Zero Trust können Technologieführer eine alte, aber neue Idee nutzen, die zur Sicherheitsnorm werden muss. (Marie Hattar)

Flipboard

Reddit

Pinterest

WhatsApp

WhatsApp

Email

Weniger als eine Woche nach der Ankündigung, den Dienst aufgrund eines Konflikts mit einem (zu diesem Zeitpunkt) ungenannten Sicherheitsforscher auf unbestimmte Zeit einzustellen ...

OpenAI hat einen ChatGPT-Datenverstoß am selben Tag bestätigt, an dem eine Sicherheitsfirma berichtete, dass sie die Verwendung einer Komponente gesehen habe, die von einem ... betroffen sei.

Die Bedrohung der Lieferkette steht in direktem Zusammenhang mit dem Angriffsflächenmanagement, aber die Lieferkette muss bekannt und verstanden werden, bevor sie...

Das neueste Chrome-Update enthält Patches für acht Schwachstellen, darunter sieben, die von externen Forschern gemeldet wurden.

Patch-Dienstag: Microsoft warnt davor, dass die Sicherheitslücke (CVE-2023-23397) zur Ausnutzung führen könnte, bevor eine E-Mail im Vorschaufenster angezeigt wird.

Apple hat Updates für macOS, iOS und Safari veröffentlicht und alle enthalten einen WebKit-Patch für eine Zero-Day-Schwachstelle mit der Bezeichnung CVE-2023-23529.

Eine Gruppe von sieben Sicherheitsforschern hat zahlreiche Schwachstellen in Fahrzeugen von 16 Autoherstellern entdeckt, darunter Fehler, die es ihnen ermöglichten, Autos zu steuern ...

Eine Schwachstelle, die Dahua-Kameras und Videorecorder betrifft, kann von Bedrohungsakteuren ausgenutzt werden, um die Systemzeit eines Geräts zu ändern.