19 апреля 2018

Критические уязвимости в индустриальных решениях Schneider Electric

Компания Schneider Electric сообщила об уязвимости в SCADA/HMI-решениях InduSoft Web Studio и InTouch Machine Edition версий до 8.1 включительно. Уязвимость получила идентификатор CVE-2018-8840 и оценку опасности в 9,8 баллов по шкале CVSS v.3.

Успешная эксплуатация этой уязвимости во время действий, связанных с тегами, сигналами тревоги или событиями, может привести к удаленному выполнению кода, который при высоких привилегиях может полностью скомпрометировать целевое устройство.

Для устранения уязвимости пользователям продуктов рекомендуется как можно скорее применить пакет обновления SP1.

Кроме того, проблемы безопасности обнаружены в контроллере противоаварийной защиты Triconex Tricon серии 3008. Устройство подвержено двум уязвимостям CVE-2018-8872 и CVE-2018-7522, которые связаны с некорректным ограничением действий в границах буфера памяти. С помощью этих уязвимостей злоумышленник может выполнить код на атакуемой системе, отключить устройство или скомпрометировать систему противоаварийной защиты.

Для устранения этих уязвимостей Schneider Electric рекомендует обновить прошивку контроллера до последней 11.x версии.

Источники: Schneider Electric, ICS-CERT