26 января 2021

Критическая уязвимость в ПО конфигурирования пользовательских интерфейсов промышленного оборудования Schneider Electric

Опубликована информация о критической уязвимости ПО конфигурирования пользовательских интерфейсов промышленного оборудования Schneider Electric. Уязвимость CVE-2020-7544 с рейтингом 7.8 по CVSS v3.1 связана с возможным повышением привилегий локального пользователя Windows при использовании ПО EcoStruxure™ Operator Terminal Expert (ранее Vijeo XD), Pro-face BLUE и среды исполнения WinGP от Schneider Electric. Об уязвимости двух последних продуктов из упомянутых стало известно в январе 2021, сама же уязвимость была впервые описана двумя месяцами ранее.

Продукты EcoStruxure™ Operator Terminal Expert и Pro-face BLUE предназначены для конфигурирования HMI терминалов, поддерживающих управление при помощи жестов и гибкое конфигурирование пользовательского интерфейса. Среда исполнения WinGP является составной частью продуктов для создания HMI.

Тип уязвимости, заявленный производителем, — некорректное управление привилегиями (CWE-269 Improper Privilege Management). Указано, что системы Windows OC с поддержкой технологии UEFI не являются уязвимыми. Для остальных систем предлагается загрузить исправления безопасности с сайта производителя. Информация о типе и характере ошибки, которая может не совпадать с типом уязвимости, декларируемым Schneider Electric (CWE-269 Improper Privilege Management), отсутствует. Возможно, исследование безопасности исполнения перечисленных продуктов в контексте ОС Windows продолжается.

Интересно, что производитель в официальном уведомлении устанавливает рейтинг уязвимости 7.4 по CVSS 3.0, ссылаясь на высокую сложность атаки и отсутствие необходимых для атаки привилегий (CVSS:3.0/AV:L/AC:H/PR:N/UI:N/S:U/C:H/I:H/A) , в то время как в базе NVD указана низкая сложность атаки, низкий уровень необходимых привилегий и рейтинг 7.8 (CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H). Конечно, производитель может давать более адекватную оценку уязвимости с учетом особенностей ее эксплуатации в OT среде. Но это расхождение вносит еще большую неясность в и без того расплывчатые сведения о характере уязвимости.

Дата публикации информации об уязвимостях: 10 ноября 2020, обновление от 12 января 2021

Источник: Schneider Electric