El libre pensamiento para un internet libre

No estas registrado.  

Anuncio

Wifi-libre.com: El libre pensamiento para un internet libre / Regístrese ahora

#1 25-10-2016 20:53:13

kcdtv
Administrator

Registrado: 14-11-2014
Mensajes: 4,489

Grosera y severa brecha en los "Industrial Secure Routers" de Moxa

Se pueden obtener los privilegios "root" en un "Industrial Secure Routers"  más fácilmente que en una Box de tercera made in China...

moxa_privilege_escalation.jpg

  El fabricante Moxa no es muy conocido de los consumidores ya que se dedica unicamente al sector industrial.
Vende hardware para redes con softwares especializados
  Pretende ser un "líder a nivel mundial" en sectores de primera importancia como la industria petrolera. 

Our Vision
To be a world-class leader and trusted partner in automation
oxa provides a full spectrum of quality products for industrial networking, computing, and automation, and maintains a distribution and service network that reaches customers in more than 70 countries. Our products have connected over 30 million devices worldwide in a wide range of applications, including factory automation, smart rail, smart grid, intelligent transportation, oil & gas, marine, and mining. By continually improving staff expertise in a variety of technologies and markets, we aim to be the first choice for industrial automation solutions.

Vision, Mission, and Values de Moxa
  Cuando veo un sitio "profesional" dedicado a preguntas de seguridad sin https (solo http) ya empiezo a reír...
Con la pasta que cuesta este tipo de material no gastarse unos €urilos para un certificado es inconcebible .
  ¿Estamos de coña o es que no tenemos ni puta idea de nada?  big_smile
 
      Por muy increíble que sea, parece que realmente no tienen ni puta idea.
  Hablamos de extracción de gaz, petroleo... Cosas que hacen booooom....
    La brecha desvelada hoy por Nassim ASIM no tiene excusas: Es para pegarlos. tongue


Escalar privilegios

  Un "Industrial Secure Router" lleva un firewall "industrial", VPN... todo un conjunto de herramientas para proteger los sitios de producción.
Todo esto esta a la merced de cualquier intruso... ...En un pispás y sin romperse el coco:

Summary:
Moxa's EDR series industrial Gigabit-performance secure routers are designed to protect the control networks of critical facilities while maintaining fast data transmissions.
The EDR series security routers provides integrated cyber security solutions that combine industrial firewall, VPN, router, and L2 switching* functions into one product specifically
designed for automation networks,which protects the integrity of remote access and critical devices.

  Cuando uno intenta navegar por el servidor sin tener los permisos requeridos  esta sistemáticamente redirigido hacía una pagina para entrar los credenciales de administrador.

http://site/login.asp

     
  Otra vez no hay SSL, los credenciales circulan en claro, esta gente esta mal de la olla. lol
  Pero este no es el punto...
El punto - peor aún - es que se pueden "saltar" los credenciales como si serían un pared de 10 centímetros de alto... y acabar en la interfaz de configuración con privilegios de administrador.
  Solo hace falta añadir en la barra de su navegador admin.htm y obtendremos acceso al formulario para configurar los credenciale de la cuenta (o es que obtenemos directo acceso a las opciones de configuración, no me ha quedado muy claro)  :

so Just add in the end of URL (admin.htm) then you get the Form to change the Admin configurations.

Creo que se refiere más a acceder a la configuración de la cuenta root (ponemos un password nuestro y adelante).
  De una forma u la otra es jaque y mate.
   
Ahora tienes el control de una plataforma petrolera en Alaska o de un gasoducto en Kazajistán
    ¡Es para partirse de risa! lol

Full disclosure

Desconectado

Anuncio

Wifi-highpower.es es distribuidor oficial de Alfa Network

Temas similares

Tema Respuestas Vistas Ultimo mensaje
Hostbase 1.2 está aqui por Koala  [ 1 2 3 4 5 ]
124 7758 Ayer 21:23:03 por kcdtv
3 1017 Ayer 21:15:55 por kcdtv
Pegado:
Pegado:: 2ª Sorteo Del Mercadillo por josep345  [ 1 2 ]
46 1672 Ayer 20:39:09 por josep345
23 4876 Ayer 16:56:55 por javierbu
7 749 19-10-2018 23:58:52 por javierbu

Pie de página

Información del usuario

Ultimo usuario registrado: kyboyx
Usuarios registrados conectados: 0
Invitados conectados: 11

Estadisticas de los foros

Número total de usuarios registrados: 1,237
Número total de temas: 1,207
Número total de mensajes: 12,440

Máx. usuarios conectados: 71 el 18-10-2018 06:35:48