(уязвимость) Schneider патчит баг незашифрованных учетных данных в системах автоматизации зданий

1 мин на чтение


Данный пост перенесён автоматически с предыдущего варианта сайта. Возможны артефакты. Если информация этого поста важна для вас, свяжитесь со мной для получения полного содержимого.


Известный производитель автоматизированных систем управления — компания Sсhneider Electric опубликовала новую прошивку для своей системы автоматизации зданий StruxureWare Building Expert, в которой закрыта уязвимость, эксплуатируемая удаленно. Исследователь Артем Курбатов обнаружил, что система передает учетные данные пользователя между сервером и клиентом в открытом (незашифрованном) виде. В оповещении от ICS-CERT говорится, что данная уязвимость не была эксплуатирована гласно. «Успешный эксплойт позволит злоумышленнику получить учетные данные пользователя», — пишет Schneider в своем оповещении. По данным Schneider Electric, эта система автоматизации зданий используется во всем мире, по большей части в коммерческих зданиях. StruxureWare Building Expert описывается как многоцелевое устройство управления, которое отслеживает работу систем вентиляции, отопления и кондиционирования, систем освещения и измерительных систем, прежде всего для контроля за расходом энергии. Уязвимость содержат версии до 2.15, по данным ICS-CERT, причем уязвимость получила CVSS-балл 10.0. Менеджерам следует обновить MPM до версии 2.15 или выше. Schneider Electric вплотную занялась закрытием дыр в безопасности с начала осени. 3 сентября компания выпустила оповещение, в котором говорится о закрытии ряда уязвимостей в Modicon M340 PLC Station P34. Об этих уязвимостях сообщил исследователь Хуан Франсиско Боливар (Juan Francisco Bolivar), также в июле о них сообщил и рассказал на конференции DEF CON независимый исследователь Адитья К. Соод (Aditya K. Sood). Продукты Modicon BMXNOC0401, BMXNOE0100, BMXNOE0110, BMXNOE0110H, BMXNOR0200H, BMXP342020, BMXP342020H, BMXP342030, BMXP3420302, BMXP3420302H и BMXP342030H содержали уязвимости, с помощью которых можно было заставить браузер перенаправлять пользователя на удаленный файл или исполняемый JavaScript, хранящийся удаленно.

Источник </div> </div>

--- === @zlonov === ---

--- === @zlonov === ---

Комментарии из Telegram


Комментарии ВКонтакте