據(jù)《安全周刊》10月11日報道，工業(yè)網(wǎng)絡(luò)安全公司OTORIO的研究人員在映翰通網(wǎng)絡(luò)公司（InHand Networks）制造的工業(yè)路由器中發(fā)現(xiàn)了13個嚴重的漏洞，其中有9個的CVSS評分都地在8分以上。這批嚴重漏洞可能會使許多工業(yè)組織暴露在黑客遠程攻擊之下，而且似乎沒有可用的補丁。

　　安全周刊的報道稱，近一年前，工業(yè)網(wǎng)絡(luò)安全公司OTORIO的研究人員在工業(yè)物聯(lián)網(wǎng)解決方案提供商InHand Networks生產(chǎn)的IR615 LTE路由器上發(fā)現(xiàn)了這些漏洞。該公司在中國、美國和德國設(shè)有辦事處，在四川和浙江設(shè)有研發(fā)中心，其產(chǎn)品在世界各地使用。InHand表示，其客戶包括西門子、通用電氣醫(yī)療保健、可口可樂、飛利浦醫(yī)療保健和其他大公司。

　　根據(jù)美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）上周發(fā)布的一份報告，OTORIO的研究人員在IR615路由器上總共發(fā)現(xiàn)了13個漏洞。

　　該列表包括嚴重的跨站請求偽造（CSRF）、遠程代碼執(zhí)行、命令注入和弱密碼策略問題，以及嚴重程度不正確的授權(quán)和跨站腳本（XSS）漏洞。

　　CISA警告說，惡意行為者可能會利用這些漏洞完全控制受影響的設(shè)備，并攔截通信，以竊取敏感信息。

　　OTORIO告訴《安全周刊》，它已經(jīng)識別出數(shù)千臺暴露在互聯(lián)網(wǎng)上的InHand路由器可能容易受到攻擊，但該公司指出，從互聯(lián)網(wǎng)上利用路由器需要對其web管理門戶進行認證。攻擊者可以使用默認憑證對設(shè)備進行身份驗證，或者利用暴力攻擊來獲取登錄憑證。路由器的弱口令策略和一個可以用來枚舉所有有效用戶帳戶的漏洞使暴力破解攻擊變得容易。

　　這家網(wǎng)絡(luò)安全公司警告說，攻擊者可能會利用這些漏洞潛入某個組織。從InHand設(shè)備，攻擊者可以轉(zhuǎn)移到受害者網(wǎng)絡(luò)中的其他工業(yè)系統(tǒng)。

　　“攻擊者可能濫用遠程代碼執(zhí)行漏洞，通過運行CLI命令在設(shè)備上獲得第一個立足點；在設(shè)備上植入第一個后門作為持久潛伏階段；并開始掃描內(nèi)部組織網(wǎng)絡(luò)，以提高攻擊者的特權(quán)，并轉(zhuǎn)移到網(wǎng)絡(luò)上的敏感資產(chǎn)，”O(jiān)TORIO滲透測試人員Hay Mizrachi解釋道?！白罱K目標是在組織中獲得Domain Admin特權(quán)。當(dāng)然，如果有其他敏感網(wǎng)絡(luò)，如OT網(wǎng)絡(luò)，攻擊者可以試圖獲得立腳點，擾亂產(chǎn)品線的日常功能，從而造成額外的損害和財務(wù)成本?！?/p>

　　2020年11月，OTORIO通過CISA向InHand Networks報告了其發(fā)現(xiàn)。然而，CISA在其報告中表示，該供應(yīng)商“尚未回應(yīng)與中國鋼鐵工業(yè)協(xié)會CISA合作以減少這些漏洞的請求?！盋ISA提供了一些通用的緩解措施，以幫助受影響的組織減少被利用的風(fēng)險。

　　SecurityWeek已經(jīng)聯(lián)系了InHand Networks征求意見，發(fā)稿時尚未得到回復(fù)。

　　InHand Network網(wǎng)站顯示，該公司是自主研發(fā)制造物聯(lián)網(wǎng)通信設(shè)備產(chǎn)品的企業(yè)，專注于機器設(shè)備間通信技術(shù)的行業(yè)應(yīng)用及工業(yè)信息化，主要從事機器設(shè)備間聯(lián)網(wǎng)產(chǎn)品的研發(fā)、制造及銷售，面向企業(yè)客戶提供機器通信網(wǎng)絡(luò)（M2M）的設(shè)備聯(lián)網(wǎng)產(chǎn)品及解決方案。公司主要向客戶提供包括工業(yè)以太網(wǎng)交換機、無線工業(yè)路由器、無線數(shù)據(jù)終端、無線傳感網(wǎng)產(chǎn)品、物聯(lián)網(wǎng)“設(shè)備云”平臺、物聯(lián)網(wǎng)智能網(wǎng)關(guān)、智能配電網(wǎng)線路狀態(tài)監(jiān)測系統(tǒng)及物聯(lián)網(wǎng)信息安全產(chǎn)品等在內(nèi)的機器設(shè)備通信聯(lián)網(wǎng)產(chǎn)品，為客戶提供覆蓋廣泛的機器通信網(wǎng)絡(luò)解決方案。公司可為客戶提供專為設(shè)備聯(lián)網(wǎng)的云計算平臺，支持多種設(shè)備的接入和數(shù)據(jù)的匯聚，為客戶提供機器設(shè)備數(shù)據(jù)分析和數(shù)據(jù)應(yīng)用平臺。