11 апреля 2018
В решении для автоматизации зданий U.motion Builder устранены множественные уязвимости
В программном решении для автоматизации зданий U.motion Builder компании Schneider Electric найдены множественные уязвимости. Проблема присутствует во всех версиях продукта до версии 1.3.4.
Всего обнаружено 16 уязвимостей разной степени критичности (от 4,3 до 10 баллов по шкале CVSS v.3). Наивысшую оценку получила уязвимость SambaCry (CVE-2017-7494) в сервере Samba, которая позволяет удаленно выполнить код на целевой системе. Также к удаленному выполнению кода может привести другая критическая уязвимость CVE-2018-7777 путем отправки на атакуемый сервер специальным образом сконфигурированных запросов. Эксплуатация этой уязвимости возможна только для аутентифицированного пользователя. Оценка опасности данной проблемы составляет 8,8 баллов. Аналогичную оценку получила уязвимость CVE-2018-7765, с помощью которой злоумышленник может осуществить SQL-инъекцию.
Другие уязвимости средней и низкой опасности связаны с обратными путями в директориях (Path Traversals), раскрытием информации (Information Disclosure) и удаленным выполнением кода посредством SQL-инъекций (SQL Injection).
Для устранения уязвимостей производитель подготовил соответствующее обновление. Кроме того, для повышения защищенности компания Schneider Electric рекомендует:
- размещать компьютер под управлением U.motion Builder Software за надежным межсетевым экраном с тщательно настроенными правилами ограничения и контроля доступа;
- не подключать компьютер непосредственно к сети Интернет и не размещать его в демилитаризованной зоне (DMZ);
- не направлять интернет-трафик непосредственно на компьютер под управлением U.motion Builder;
- реализовывать удаленный доступ к системе U.motion только через доверенную виртуальную частную сеть (VPN);
- разрешить подключение к программному обеспечению U.motion Builder только для доверенных компьютеров.
- использовать список доверенных приложений (application whitelisting) для ограничения выполнения программ на компьютере с U.motion builder.
Источник: Schneider Electric