尽管如此,施耐德电气仍在重蹈覆辙。这次,施耐德莫迪康(Schneider Modicon)TM221CE16R 固件1.3.3.3就出了纰漏。若不借助新的固件,用户根本没办法解决这一问题,因为他们使用的是硬编码密码,因此无法修改密码。

上周星期五下午,某人用固定密钥“SoMachineBasicSoMachineBasicSoMa”加密了用户/密码XML文件。这就意味着,攻击者可以打开控制环境(SoMachine Basic 1.4 SP1),获取并解密用户文件,并接管文件。

德国开源信息安全(Open Source Security)的Simon Heming、Maik Brüggemann、Hendrik Schwartke和Ralf Spenneberg发现了该漏洞。他们之所以选择公开,是因为他们联系了该公司,但未得到任何回复。这种最终被公开的漏洞很多都是因为厂商接到了漏洞报告,但不重视。

施耐德“不听劝”、不重视,固件安全问题堪忧-E安全

研究人员发现TM221CE16R固件1.3.3.3硬件上存在漏洞,设备为了保护应用程序的密码可被远程找回,而无需身份验证。

用户只需要使用TCP 端口502通过Modbus发送以下命令:

echo -n -e 'x00x01x00x00x00x05x01x5ax00x03x00' | nc IP 502

研究人员写到,之后可以将找回的密码输入SoMachine Basic进行下载、修改并再次上传所需的应用程序。

在关键基础设施中,美国计算机应急响应小组(ICS-CERT)将施耐德莫迪康套件归为“关键制造、食品和农业、供水与废水系统”类 。对于这类食品、能源型关键基础设施的固件,密码保护应当更加谨慎。

本文转自d1net(转载)

电气开发人员切勿使用硬编码密码相关推荐

  1. AI一分钟|倪光南:“中国芯”切勿重硬轻软;阿里达摩院入职95后最年轻科学家,参与无人车研发...

    ▌倪光南:"中国芯"切勿重硬轻软 中国工程院院士.计算机专家倪光南在接受媒体采访时表示,"过去汽车电子领域被外国跨国公司所垄断,它们的芯片有强大的生态支持,使中国芯片难以 ...

  2. Android安全开发之浅谈密钥硬编码

    Android安全开发之浅谈密钥硬编码 作者:伊樵.呆狐@阿里聚安全 1 简介 在阿里聚安全的漏洞扫描器中和人工APP安全审计中,经常发现有开发者将密钥硬编码在Java代码.文件中,这样做会引起很大风 ...

  3. Android应用安全开发之浅谈密钥硬编码

    Android应用安全开发之浅谈密钥硬编码 作者:伊樵.呆狐@阿里聚安全 1 简介 在阿里聚安全的漏洞扫描器中和人工APP安全审计中,经常发现有开发者将密钥硬编码在Java代码.文件中,这样做会引起很 ...

  4. D-Link 修复多个硬编码密码漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 D-Link 发布固件热修复方案,解决了基于 DIR-3040 AC3000 的无线互联网路由器中的多个漏洞. 如成功利用这些漏洞,攻击者 ...

  5. 编程开发基础之什么是硬编码?

    举个例子,比如说你做个软件,他有菜单栏,你如果把菜单的标题全部写在代码里,那如果现在要换英文的,你就不得不改变代码. 现在换一种方式,你把菜单标题全部写在一个文本里,比如叫title.txt,现在你要 ...

  6. 自学成才翁_自学成才的开发人员指南,学习如何编码

    自学成才翁 So you want to learn to code? My personal advice would be to attend a bootcamp, because they o ...

  7. 后端开发除了编码还要做什么_每个开发人员都应掌握的基本技能(除了编码)

    后端开发除了编码还要做什么 Whether you are learning to code, looking for a new job, or just want to improve your ...

  8. 面向.NET开发人员的Dapr——机密

    目录: 面向.NET开发人员的Dapr--前言 面向.NET开发人员的Dapr--分布式世界 面向.NET开发人员的Dapr--俯瞰Dapr 面向.NET开发人员的Dapr--入门 面向.NET开发人 ...

  9. 从 .NET 开发人员的角度理解 Excel 对象模型

    适用于: 用于 Microsoft Office 系统的 Microsoft Visual Studio 工具 Microsoft Office Excel 2003 Microsoft Visual ...

最新文章

  1. win8数据源设置mysql_Win8系统ODBC数据源有何重要功能?
  2. ssm整合(基于xml配置方式)
  3. eclipse Indigo Helios Galileo几种版本的意思
  4. 刚刚,Python 3.10 正式发布了!我发现了一个可怕的功能...
  5. MS-SQL中的事务
  6. oracle查看语句执行历史,AWT查看oracle历史sql语句执行
  7. 双目测距中用到的视差图和景深的关系推导----三种方法详细解
  8. C语言程序设计复习指导
  9. Android应用程序组件Content Provider的共享数据更新通知机制分析
  10. jboss7的服务器开启和关闭命令
  11. 攻防世界 php2,CTF-攻防世界-PHP2
  12. 《深入理解Android 5 源代码》——第1章,第1.2节剖析Android系统架构
  13. 使用云开发实现微信支付的具体方法
  14. 机器视觉在工业互联网中的应用
  15. GAN的评价指标IS和FID
  16. Ubuntu16.04安装Keepalived
  17. mysql 联合主键自增_mysql auto_increment 与 联合主键冲突问题
  18. Instant-Meshes-奇异点检测
  19. ubuntu下u盘变成只读模式
  20. Leetcode中级算法-动态规划01

热门文章

  1. 使用arpspoof欺骗断网
  2. ofo小黄车创始人赴美创业,他还欠你押金不?
  3. 上海海事大学计算机考研资料汇总
  4. k8s部署-31-k8s中如何进行资源隔离资源
  5. 【React项目架构 】+后台管理系统cms实操
  6. 水经注有哪些单款地图下载器授权?
  7. [slurm] CentOS7/Ubuntu18上Slurm部署步骤(单机版)
  8. word自动生成报告项目多页表头及页眉重复显示设置并总页码加减域代码编辑
  9. JS生成UUID(GUID)
  10. NT5.X/NT6.0双启动的故障解决