![Araştırmacılar, Carrier’dan Endüstriyel Erişim Kontrol Sistemindeki Kritik Kusurları Açıkladı](https://kilalu.blog/news/2024-07-31-14:07/Araştırmacılar, Carrier’dan Endüstriyel Erişim Kontrol Sistemindeki Kritik Kusurları Açıkladı.jpg)
Carrier’ın sağlık, eğitim, ulaşım ve devlet tesislerinde yaygın olarak kullanılan LenelS2 HID Mercury erişim kontrol sisteminde sekiz kadar sıfır gün güvenlik açığı açıklandı.
Trellix güvenlik araştırmacıları Steve Povolny ve Sam Quinn, The Hacker News ile paylaşılan bir raporda, “Keşfedilen güvenlik açıkları, kapıları uzaktan açma ve kilitleme, alarmları bozma ve kayıt ve bildirim sistemlerini baltalama yeteneğini göstermemize izin verdi.” Dedi.
Özetle, sorunlar kötü niyetli bir aktör tarafından kapı kilitlerini manipüle etme yeteneği de dahil olmak üzere tam sistem kontrolü elde etmek için silahlandırılabilir. Hatalardan biri (CVE-2022-31481), CVSS puanlama sisteminde önem derecesi açısından 10 üzerinden 10 olarak derecelendirilen, kimliği doğrulanmamış bir uzaktan yürütme hatası içeriyor.
Diğer eksiklikler komut enjeksiyonuna (CVE-2022-31479, CVE-2022-31486), hizmet reddine (CVE-2022-31480, CVE-2022-31482), kullanıcı değişikliğine (CVE-2022-31484), ve bilgi sızdırma (CVE-2022-31483) ve ayrıca isteğe bağlı dosya yazma (CVE-2022-31483).
LenelS2, ayrıcalıklı tesislere fiziksel erişim sağlamak ve daha karmaşık bina otomasyonu dağıtımlarıyla entegre olmak için ortamlarda kullanılır. LenelS2 tarafından satılan aşağıdaki HID Mercury erişim panelleri etkilenmiştir –
- LNL-X2210
- LNL-X2220
- LNL-X3300
- LNL-X4420
- LNL-4420
- S2-LP-1501
- S2-LP-1502
- S2-LP-2500 ve
- S2-LP-4502
Trellix, yukarıda bahsedilen zayıflıklardan ikisini zincirleyerek, cihaz üzerinde uzaktan kök düzeyinde ayrıcalıklar elde edebildiğini ve kapıların kilidini açıp kontrol ederek sistem izleme korumalarını etkin bir şekilde alt üst edebildiğini kaydetti.
![](https://teknomerscdn.cloudspecter.com/wp-content/uploads/2022/06/1654870899_308_Arastirmacilar-Carrierdan-Endustriyel-Erisim-Kontrol-Sistemindeki-Kritik-Kusurlari-Acikladi.jpg)
Kamuya açıklama ile aynı zamana denk gelen, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’ndan (CISA) bir endüstriyel kontrol sistemleri (ICS) tavsiyesidir ve kullanıcıları erişim panellerini güncellemeye teşvik eder. en son donanım yazılımı sürümü (CARR-PSA-006-0622).
“Bu güvenlik açıklarından başarılı bir şekilde yararlanılması, bir saldırganın cihaza erişmesine, cihaza gönderilen ve cihazdan gönderilen tüm iletişimlerin izlenmesine, yerleşik rölelerin değiştirilmesine, yapılandırma dosyalarının değiştirilmesine, cihaz kararsızlığına ve hizmet reddi durumuna izin verebilir.” Ajans söz konusu bir uyarıda.
Popular Articles
- 10 Aug Microsoft, Apple’ı geçerek dünyanın en değerli şirketi oldu
- 15 Aug Jidu Auto elektrikli araç seri üretimine başlıyor
- 04 Aug MSBden Acı Haber: 6 Asker Şehit Oldu, 1 Asker Yaralandı
- 14 Aug Burak Arzova Yazio: Hani Şeffaf Olacaktık? Hani Hesap Verebilir Olacaktık?
- 19 Jul Batman’da koruma altındaki kuşları avlayan şahıs suçüstü yakalandı - Son Dakika Haberler
Latest Articles
- 23 Jul Instagram Mühendisleri, Keşfet Sayfasının Nasıl Çalıştığını Açıkladı
- 06 Aug CyanogenModun Varisi Lineage OS, 80den Fazla Cihazı Destekleyecek
- 10 Aug GenAI sayesinde siyasi deepfake’ler kontrol edilemeyen bir yangın gibi yayılıyor
- 15 Aug Redmi Turbo 3 tasarımı, özellikleri ve çıkış tarihi belli oldu
- 18 Jul Lancia Ypsilon HF 2024 ve Ypsilon Rally 4 HF 2024 sunuldu: görünüş olarak benzer, ancak tamamen farklı arabalar