Критичні уразливості знайдені в Schneider Electric ProClima

019 Експерти ICS-CERT в новому звіті, опублікованому на власному сайті, повідомляють про низку вразливостей, які були виявлені в утиліті ProClima. Дана програма використовується в енергетичній галузі, для тонкої настройки різного устаткування і програмних систем.

Якщо зловмисник виявить ці помилки, у нього з'явиться можливість запускати на цільовій системі практично будь-який довільний код. Це дозволяє гіпотетично повністю скомпрометувати систему, змушуючи її виконувати необхідні дії.

Перші три уразливості, коди яких можна подивитися на сайті ICS-CERT, пов'язані з використанням ActiveX MetaDraw. Зловмиснику досить створити цільовий сайт, який буде викликати переповнення web-буфера. Підсумком стане падіння захисту та можливість запуску будь-якого програмного коду в рамках цієї системи. При цьому всі інші рубежі зашиті користувальницькою системою не мають значення, оскільки пролом зачіпає дуже вузькоспеціалізовану область роботи. Сам факт виявлення такої несправності можна вважати випадковістю.

Також дві вразливості взаємодіють з Atx45.ocx, викликаючи аналогічне переповнення буфера. Співробітники ICS-CERT підкреслюють, що всі ці помилки можуть використовуватися не тільки хакерами, але і звичайними користувачами. Не потрібно володіти якимись особливими технічними знаннями для подібного саботажу. Але на поточний момент часу жодних ознак того, що пролом хтось намагався активно використовувати, не виявлено. Помилка зачіпає виключно ProClima 6.0.1 і більш ранні версії даної програми, в ProClima 6.1.7 проблема була усунена. Розробник рекомендує провести повне видалення попередньої версії перед тим, як завантажити і поставити нове ПЗ.

Комментариев: 2 на “Критичні уразливості знайдені в Schneider Electric ProClima

  1. Ці системи настільки складні, що треба спочатку про безпеку думати …Жах, коли такі глюки випадково знаходять.

  2. Головне що сам факт помилок виявлений. Тепер їх швиденько виправлять, якщо ще не виправили.

Добавить комментарий

Ваш e-mail не будет опубликован.