DoS – en XSS-kwetsbaarheden ontdekt in industrieel weerstation

Beveiligingsonderzoekers van Applied Risk hebben vorige week kwetsbaarheden ontdekt in het X-320M-I industriële weerstation van ControlByWeb, één van de apparaten van de X-320M reeks van de fabrikant. Het gaat om een Denial of Service (DoS) en een Stored Cross Site Scripting (XSS)-kwetsbaarheid, die een door Applied Risk berekende CVSS (Common Vulnerability Scoring System) score van respectievelijk 7.5 en 7.6 (hoog) hebben meegekregen.

Applied Risk heeft vorige week een security advisory uitgebracht om de kwetsbaarheden te adresseren.
De X-320M-I is een webgebaseerd industrieel weerstation dat wereldwijd gebruikt wordt om weersinformatie te volgen en te registreren met behulp van een standaard webbrowser. Dit apparaat kan worden gebruikt in een verscheidenheid aan wetenschappelijke en industriële toepassingen zoals meteorologie, procesregeling en veel meer.
Exploitatie van de gevonden kwetsbaarheden kan kwaadwillenden in staat stellen om een DoS-conditie te veroorzaken, waardoor het apparaat onbruikbaar wordt. Een fysieke reset naar fabrieksinstellingen is vereist om het apparaat weer operationeel te krijgen. Kwaadwillenden kunnen daarnaast scripts maken om acties uit te voeren, zoals het omleiden van gebruikers of stelen van data.
Applied Risk heeft volgens het ‘responsible disclosure’-proces met de fabrikant samengewerkt. Eindgebruikers kunnen de kwetsbaarheid verhelpen door de firmware te updaten naar de nieuwste versie.