内容简介:2019年5月15日,国家信息安全漏洞共享平台CNVD收录了Domoticz SQL注入漏洞。CNCERT下属的工业互联网安全应急响应中心(http://www.ics-cert.org.cn)针对漏洞情况进行了分析,并对国内相关联网资产进行了在线监测,具体情况通报如下:Domoticz系统是一个轻量级的智能家居系统 ,通过它可以监测和控制各种设备,包括灯和开关以及各种传感器、仪表。安全研究人员发现,在Domoticz系统中存在SQL注入漏洞。分析表明,该漏洞是由于系统未对用户输入的SQL语句进行安全验证造
2019年5月15日,国家信息安全漏洞共享平台CNVD收录了Domoticz SQL注入漏洞。CNCERT下属的工业互联网安全应急响应中心(http://www.ics-cert.org.cn)针对漏洞情况进行了分析,并对国内相关联网资产进行了在线监测,具体情况通报如下:
一、漏洞情况分析
Domoticz系统是一个轻量级的智能家居系统 ,通过它可以监测和控制各种设备,包括灯和开关以及各种传感器、仪表。
安全研究人员发现,在Domoticz系统中存在 SQL 注入漏洞。分析表明,该漏洞是由于系统未对用户输入的SQL语句进行安全验证造成的。攻击者可利用该漏洞执行非法SQL命令。
二、漏洞影响范围
该产品漏洞的综合评级为“高危”。
根据生产厂商以及漏洞研究者的测试结果,该漏洞影响设备为:
-
Domoticz 4.10578之前版本
截止当前,中心通过监测手段发现了若干暴露在互联网上的相关设备,详细信息见附录一、二。
三、漏洞处置建议
目前厂商已发布更新版本,建议使用此设备的用户及时更新。
详情请关注厂商网站的相关信息:https://github.com/domoticz/domoticz/commit/ee70db46f81afa582c96b887b73bcd2a86feda00
此外,建议相关用户应采取的其他安全防护措施如下:
(1)最大限度地减少所有控制系统设备和/或系统的网络暴露,并确保无法从Internet访问。
(2)定位防火墙防护的控制系统网络和远程设备,并将其与业务网络隔离。
(3)当需要远程访问时,请使用安全方法如虚拟专用网络(VPN),要认识到VPN可能存在的漏洞,需将VPN更新到最新版本。
相关安全公告链接参考如下:
http://www.cnvd.org.cn/flaw/show/CNVD-2019-14254
附录一 国内暴露在互联网的该漏洞相关网络资产信息
| 省份 |
数量 |
省份 |
数量 |
| 浙江 |
105 |
河北 |
11 |
| 北京 |
77 |
内蒙古 |
8 |
| 上海 |
75 |
湖北 |
5 |
| 陕西 |
73 |
新疆 |
5 |
| 江苏 |
55 |
江西 |
4 |
| 广东 |
41 |
辽宁 |
2 |
| 四川 |
39 |
云南 |
1 |
| 山东 |
26 |
安徽 |
1 |
| 湖南 |
16 |
重庆 |
1 |
| 广西 |
15 |
贵州 |
1 |
| 福建 |
13 |
吉林 |
1 |
附录二 国内暴露在互联网的该漏洞相关网络资产分布图
声明:本文来自工业互联网安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
以上所述就是小编给大家介绍的《工业互联网安全应急响应中心:关于Domoticz SQL注入漏洞的情况通报》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- BUF早餐铺 | 国家计算机病毒应急处理中心监测发现九款违法移动应用;黑客向热门JavaScript库注入恶...
- 应急响应实战笔记
- 挖矿应急响应小结
- 最全 Linux 应急响应技巧
- 某云用户网站入侵应急响应
- 入门级应急响应小贴士(二)
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Hacking Growth
Sean Ellis、Morgan Brown / Crown Business / 2017-4-25 / USD 29.00
The definitive playbook by the pioneers of Growth Hacking, one of the hottest business methodologies in Silicon Valley and beyond. It seems hard to believe today, but there was a time when Airbnb w......一起来看看 《Hacking Growth》 这本书的介绍吧!
