محققان امنیتی بهتازگی هشت آسیبپذیری روز صفر در سیستم کنترل دسترسی HID Mercury که معمولا در تاسیسات مربوط به سلامت، آموزش، حملونقل و تاسیسات دولتی مورد استفاده قرار میگیرد، شناسایی کردهاند.
محققان در همین رابطه اظهار کردهاند که آسیبپذیریهای کشفشده به آنها امکان نشان دادن توانایی باز کردن و قفل کردن درها بهصورت از راه دور، همچنین تغییر در هشدارها و تضعیف سیستمهای اعلانات و گزارشها را اعطا کرده است.
به گفته محققان، این نقصها میتوانند توسط مهاجمان برای دسترسی کامل به سیستمهای آسیبپذیر مورد استفاده قرار گیرند.
براساس اطلاعات منتشر شده، نقصهای شناسایی شده عبارتند از:
- نقص اجرای دستور بهصورت از راه دور با شناسه CVE-2022-31481
- نقص تزریق فرمان با شناسههای CVE-2022-31479 و CVE-2022-31486
- نقص محرومسازی از سرویس با شناسههای CVE-2022-31480 و CVE-2022-31482
- نقص اصلاح دسترسی کاربر CVE-2022-31484
- نقص شنود اطلاعات CVE-2022-31485
- نقص بازنویسی دلخواه فایلها CVE-2022-31483
توضیحات بیشتر:
- Researchers Disclose Critical Flaws in Industrial Access Controllers from HID Mercury