اجمل 40 دقيقة للشيخ عبدالباسط عبد الصمد تلاوات مختارة Ù…Ù
يمكن أن تكون الأجهزة الصناعية المتصلة بالإنترنت متاحة لأي شخص ، بدون كلمة مرور ، وذلك بفضل خطأ في التشفير من قبل الشركة المصنعة للبوابة
قامت الشركة التايوانية Advantech بتصحيح البرامج الثابتة في بعض من أجهزةها الخاصة بالبوابات التسلسلية إلى IP في أكتوبر لإزالة مفتاح SSH (Secure Shell) المشفر الذي كان سيسمح بالوصول غير المصرح به من قبل المهاجمين عن بعد.
لكنه تجاهل مشكلة أكبر: أي كلمة المرور سوف تفتح البوابات ، والتي تستخدم لتوصيل الأجهزة التسلسلية القديمة إلى TCP / IP والشبكات الخلوية في البيئات الصناعية في جميع أنحاء العالم.
[اقرأ المزيد: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]اكتشف باحثون من شركة Rapid7 الأمنية مشكلة الثغرة في البرنامج الثابت الذي تم تعديله ، الإصدار 1.98 ، والذي تم إصداره لبوابة بروتوكول الإنترنت (IP) لشركة Advantech EKI-1322 التي يمكنها توصيل الأجهزة التسلسلية والإيثرنت بشبكة خلوية
تحتوي البرامج الثابتة على خادم SSH مفتوح المصدر يسمى Dropbear تم تعديله بشكل كبير. ونتيجة لهذه التعديلات ، فإنه لم يعد يقوم بفرض المصادقة ، مما يسمح لأي مستخدم بالاتصال به بأي مفتاح وكلمة مرور عام ، كما قال الباحثون في Rapid7 في تقرير استشاري.
بالإضافة إلى ذلك ، قد يكون هناك حساب مستتر آخر مدمج به وقال الباحثون إن كلمة المرور تم ترميزها بشكل منفصل عن مفتاح (SSH) الذي تم اكتشافه سابقا والمزيل.
تم إصلاح الإصدار الجديد في الإصدار 2.00 من البرنامج الثابت لـ EKI-1322 ، الذي صدر في 30 ديسمبر. إلى هذا الإصدار في أقرب وقت ممكن.
على الرغم من اختبار البرنامج الثابت EKI-1322 فقط ، يعتقد باحثو Rapid7 أن نفس التخطية الالتفافية قد تحدث في جميع بوابات Advantech EKI التسلسلية إلى IP الأخرى.
Advantech الإعلان عن منتجات كهذه كطريقة بسيطة لجلب الإدارة عن بُعد وإمكانية الوصول إلى البيانات إلى آلاف الأجهزة الصناعية التي لا يمكنها الاتصال أصلاً بشبكات TCP / IP.
على الرغم من ذلك ، فإن نقاط الضعف مثل هذه تبرز مخاطر ربط هذه المعدات الحساسة o الإنترنت وأهمية سياسات تجزئة الشبكات القوية في البيئات الصناعية.
وتستهدف القواعد الجديدة ، التي اعتمدت الجمعة ، في ما يسمى الحشو ، والتنسيب غير القانوني للرسوم غير المصرح به على فواتير الهاتف الثابت الهاتفية الشهرية. تتطلب القواعد الجديدة من شركات الاتصالات الهاتفية إخطار المشتركين بخيار حظر رسوم الطرف الثالث ، إذا كانوا يقدمون هذا الخيار. تطلبت لجنة الاتصالات الفيدرالية من الإخطارات في الوقت الذي يقوم فيه العميل بالتسجيل للخدمة ، على كل فاتورة شهرية وعلى مواقع ويب الناقل.
بالإضافة إلى ذلك ، صوتت لجنة الاتصالات الفيدرالية لتقوية قواعدها التي تتطلب فصل رسوم الطرف الثالث عن رسوم شركة الهاتف على فواتير الهاتف. وستطلب لجنة الاتصالات الفيدرالية أيضًا التعليق على ما إذا كان يجب على الوكالة اعتماد إجراءات حماية إضافية ، مثل مطالبة شركات الخطوط الأرضية بالحصول على موافقة العميل قبل فرض رسوم طرف ثالث على فواتيرها.
بوابات التسلسل الصناعي إلى الإنترنت من Advantech مفتوحة على مصراعيها للوصول غير المصرح به
أجهزة العبّارات المتخصصة التي تصنعها شركة Advantech والتي يتم استخدامها في جميع أنحاء يمكن الوصول إلى العالم في البيئات الصناعية لتوصيل المعدات التسلسلية القديمة إلى TCP / IP والشبكات الخلوية بأي كلمة مرور.