شرکت دلتا الکترونیکس (Delta Electronics) یکی از بزرگترین و پیشروترین شرکتها در زمینه فناوری برق، انرژی، اتوماسیون صنعتی و الکترونیک میباشد که به تازگی یک آسیبپذیری بحرانی (9.8) با شناسه CVE-2024-3871 در دستگاههای DVW-W02W2-E2 این شرکت کشف شده است. این دستگاهها، یک رابط کاربری مدیریت وب را برای کاربران فعال میکنند. رابط کاربری مذکور، با ویژگیهای چندگانه پیادهسازی شده است که تحت تأثیر آسیبپذیریهای تزریق کد مخرب و سرریز پشته قرار دارند. بهرهبرداری موفق از این این نقص امنیتی به مهاجم احراز هویت نشده امکان اجرای کد را بر روی دستگاههای تحت تأثیر میدهد.
بر اساس بردار حمله این آسیبپذیری (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H) بهرهبرداری از آن از طریق شبکه خارجی امکانپذیر نیست. مهاجم باید از راه دور (از طریق پروتکلی مانند SSH یا RDP) به سیستم دسترسی داشته باشد، یا نیاز به استفاده از مهندسی اجتماعی یا تکنیکهای دیگر جهت فریب کاربر ناآگاه برای کمک به شروع بهرهبرداری دارد. (AV:N)، نیازمند هیچ پیشزمینهای نبوده و بهراحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست (AC:L)، برای انجام حمله به هیچ حساب کاربری با سطح دسترسی خاصی نیاز نیست (PR:N)، به تعامل با کاربر نیز نیاز ندارد (UI:N)، بهرهبرداری از نقص امنیتی مذکور بر سایر منابع امنیتی تأثیر میگذارد (S:U) و هر سه ضلع امنیت با شدت بالایی تحت تأثیر قرار میگیرند.
محصولات تحت تأثیر
تمام نسخههای قبل از 2.5.2 محصول DVW-W02W2-E2 در برابر نقصهای امنیتی مذکور، آسیبپذیر هستند.
توصیههای امنیتی
هیچ اطلاعاتی درباره تدابیر دفاعی ممکن موجود نیست و به کاربران توصیه میشود در صورت امکان، از محصولات جایگزین استفاده کنند.
منبع خبر:
- 4