OSIsoft PI System中的一種存儲的跨站點(diǎn)腳本(XSS)漏洞(一種經(jīng)常出現(xiàn)在關(guān)鍵基礎(chǔ)設(shè)施中的產(chǎn)品)可以被利用來進(jìn)行網(wǎng)絡(luò)釣魚,特權(quán)升級和其他目的�。
OSIsoft PI System是一個(gè)數(shù)據(jù)管理平臺,可提供工廠監(jiān)控和分析功能�����。根據(jù)供應(yīng)商的網(wǎng)站�����,PI System已在全球超過19,000個(gè)站點(diǎn)中部署���,涉及電力�����,石油和天然氣���,制造和采礦等各個(gè)行業(yè)�����。
工業(yè)網(wǎng)絡(luò)安全公司OTORIO的研究人員發(fā)現(xiàn)���,PI System的PI Web API 2019組件受到存儲的XSS漏洞的影響,該漏洞使目標(biāo)系統(tǒng)具有有限特權(quán)的攻擊者可以進(jìn)行各種類型的活動��。
美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)曾發(fā)表咨詢了這個(gè)缺陷�,這是跟蹤為CVE-2020-12021和影響版本1.12.0.6346和之前。OSIsoft已發(fā)布了安全漏洞補(bǔ)丁���,并建議客戶采取措施以最大程度地降低遭受攻擊的風(fēng)險(xiǎn)�����。
OTORIO事件響應(yīng)團(tuán)隊(duì)負(fù)責(zé)人Dor Yardeni告訴《安全周刊》���,為了利用此漏洞,外部攻擊者需要以某種方式獲得對PI Server(為PI System供電的數(shù)據(jù)存儲和分發(fā)引擎)的訪問權(quán)限��。一旦他們可以訪問PI Server���,攻擊者就可以利用存儲的XSS漏洞將任意java script代碼注入PI Server中的易受攻擊的字段中��。或者�����,攻擊者可能試圖說服內(nèi)部人員注入代碼��。
一旦注入了惡意代碼�,攻擊者就需要等待特權(quán)提升的用戶使用易受攻擊的PI Web API并將其光標(biāo)移到受感染的字段上�,從而導(dǎo)致該代碼在受害者的瀏覽器中執(zhí)行。攻擊者可以注入代碼����,該代碼在執(zhí)行時(shí)會顯示一個(gè)仿冒頁面,旨在竊取受害者的憑據(jù)�。
根據(jù)Yardeni的說法,黑客隨后可以將這些憑據(jù)用于各種各樣的活動����,包括篡改來自工廠的數(shù)據(jù),并讓工程師或操作員相信一切都在正常運(yùn)行����,而實(shí)際上卻并非如此(例如�,鍋爐的實(shí)際溫度)�。可能是100°C�,而應(yīng)用程序只會顯示50°C)。攻擊者還可以刪除歷史工廠數(shù)據(jù)�,或使用受損的憑證來破解目標(biāo)用戶可以訪問的其他工廠資源。
還可以利用此漏洞來注入旨在用于頁面按鍵記錄���,竊取Cookie��,將用戶重定向到其他網(wǎng)站��,更改受感染頁面上的數(shù)據(jù)以及竊取瀏覽信息(例如內(nèi)部IP�����,瀏覽器版本等)的代碼���。
“如果攻擊者具有較高的憑據(jù),則無需利用此漏洞����。他們僅憑高級別的憑證即可進(jìn)入生產(chǎn)車間。” Yardeni解釋說�����。“但是����,如果攻擊者僅獲得具有'寫入'權(quán)限的薄弱憑據(jù)����,他/她將能夠利用此漏洞獲取更高的憑據(jù),然后訪問整個(gè)生產(chǎn)環(huán)境����!
OTORIO發(fā)布了一個(gè)視頻����,顯示攻擊者如何利用此漏洞進(jìn)行網(wǎng)絡(luò)釣魚:
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
