В EcoStruxure-продуктах Schneider Electric найдены шесть багов 0-day.
03.12.2020 в 11:35 | Anti-Malware.ru | Advis.ru
В продуктах семейства EcoStruxure Building Operation (EBO) производства Schneider Electric за полгода были выявлены шесть уязвимостей нулевого дня. Патчи для них уже вышли, а подробная информация стала доступной только на днях.
Набор инструментов EcoStruxure Building Operation (ранее StruxureWare Building Operation) предназначен для мониторинга, контроля и управления функциями жизнеобеспечения умных зданий — такими как энергоснабжение, освещение, пожарная безопасность, отопление, вентиляция и кондиционирование. Не известные ранее бреши обнаружили исследователи из компании TIM (Telecom Italia), лидера итальянского рынка телекоммуникаций. Отчеты о находках были своевременно направлены разработчику, и тот решал проблемы по мере поступления информации в период с апреля по ноябрь.
Уязвимости, найденные в EBO, характеризуются следующим образом:
- CVE-2020-7569 — неограниченная загрузка файлов опасного типа; позволяет выполнить вредоносный код; 8,8 балла по CVSS;
- CVE-2020-7572 — некорректное ограничение ссылок на внешние сущности XML; грозит раскрытием конфиденциальной информации через инъекцию XML-кода (атаку XXE); 8,8 балла;
- CVE-2020-28209 — путь поиска файлов на Windows не заключен в кавычки; при определенных условиях позволяет повысить привилегии в системе; 7 баллов;
- CVE-2020-7570 — хранимая XSS; грозит внедрением стороннего скрипта или кода HTML в веб-страницу; 5,4 балла;
- CVE-2020-7571 — отраженная XSS; грозит инъекцией вредоносного кода; 5,4 балла;
- CVE-2020-7573 — неадекватный контроль доступа; позволяет добраться до веб-ресурсов ограниченного пользования; 6,5 балла.
Краткие описания уязвимостей 0-day в EcoStruxure-продуктах приведены на сайте спецподразделения TIM и в профильном бюллетене Schneider Electric (PDF).
При отсутствии возможности установить патч в обозримом будущем разработчик рекомендует принять меры защиты, позволяющие снизить риск эксплойта: Запретить доступ к серверу EBO из недоверенных сетей. Поместить EBO-систему за экраном в изолированной сети и разрешить внешний доступ только на определенных портах и к конкретным машинам. Протестировать и развернуть систему белых списков для приложений на серверных машинах.
Набор инструментов EcoStruxure Building Operation (ранее StruxureWare Building Operation) предназначен для мониторинга, контроля и управления функциями жизнеобеспечения умных зданий — такими как энергоснабжение, освещение, пожарная безопасность, отопление, вентиляция и кондиционирование. Не известные ранее бреши обнаружили исследователи из компании TIM (Telecom Italia), лидера итальянского рынка телекоммуникаций. Отчеты о находках были своевременно направлены разработчику, и тот решал проблемы по мере поступления информации в период с апреля по ноябрь.
Уязвимости, найденные в EBO, характеризуются следующим образом:
- CVE-2020-7569 — неограниченная загрузка файлов опасного типа; позволяет выполнить вредоносный код; 8,8 балла по CVSS;
- CVE-2020-7572 — некорректное ограничение ссылок на внешние сущности XML; грозит раскрытием конфиденциальной информации через инъекцию XML-кода (атаку XXE); 8,8 балла;
- CVE-2020-28209 — путь поиска файлов на Windows не заключен в кавычки; при определенных условиях позволяет повысить привилегии в системе; 7 баллов;
- CVE-2020-7570 — хранимая XSS; грозит внедрением стороннего скрипта или кода HTML в веб-страницу; 5,4 балла;
- CVE-2020-7571 — отраженная XSS; грозит инъекцией вредоносного кода; 5,4 балла;
- CVE-2020-7573 — неадекватный контроль доступа; позволяет добраться до веб-ресурсов ограниченного пользования; 6,5 балла.
Краткие описания уязвимостей 0-day в EcoStruxure-продуктах приведены на сайте спецподразделения TIM и в профильном бюллетене Schneider Electric (PDF).
При отсутствии возможности установить патч в обозримом будущем разработчик рекомендует принять меры защиты, позволяющие снизить риск эксплойта: Запретить доступ к серверу EBO из недоверенных сетей. Поместить EBO-систему за экраном в изолированной сети и разрешить внешний доступ только на определенных портах и к конкретным машинам. Протестировать и развернуть систему белых списков для приложений на серверных машинах.
Введите e-mail получателя:
Укажите Ваш e-mail:
Получить информацию:
Получить информацию:
Специальное предложение
Не упустите возможности воспользоваться бонусами при покупке одного из самых рейтинговых обзоров INFOLine «Рынок DIY 2024 года».
В пакет входит бесплатное предложение:
- подписка на еженедельный отраслевой мониторинг «Рынок строительно-отделочных материалов, торговые сети DIY и товары для дома России и Республики Беларусь» II квартал 2024 года,
- свежий выпуск ежемесячного обзора «Инвестиционные проекты в жилищном строительстве РФ»,
- презентация INFOLine c бизнес-завтрака «Строительные материалы и рынок DIY. Итоги 2023 года, перспективы 2024-го».
Свяжитесь с нами любым удобным способом:
+7 (812) 322-68-48, +7 (495) 772-76-40
retail@infoline.spb.ru
Или напишите сообщение через бот https://t.me/INFOLine_auto_Bot – он сразу сообщит специалистам отдела развития INFOLine о вашем обращении.