Firma Schneider Electric poinformowała o lukach bezpieczeństwa w oprogramowaniu U.motion Builder, umożliwiających zdalne wywołanie kodu, nieuprawniony dostęp czy wywołanie szkodliwych zapytań SQL. Aktualnie nie są dostępne żadne aktualizacje oprogramowania, usuwające podatności.
Wykryto podatności w 7 obszarach:
- SQL Injection
nieuwierzytelniony użytkownik może wywołać szkodliwe zapytania SQL - Przechodzenie po drzewie katalogów (Path Traversal)
nieuwierzytelniony użytkownik może wywołać szkodliwy kod i pobrać pliki - Niewłaściwe uwierzytelnianie (Improper Authentication)
możliwe jest obejście uwierzytelniania przez przesłanie w ciasteczkach HTTP odpowiednio spreparowanego ID sesji - Używanie zakodowanych na sztywno haseł (Use of hard-coded password)
dostęp do aplikacji przez przeglądarkę jest zabezpieczony domyślnym hasłem - Niewłaściwa kontrola dostępu (Improper access control)
napastnik może wykorzystać błędy w konfiguracji do wywołania kodu jako root - Blokada dostępu (Denial of Service)
nieuwierzytelniony użytkownik może wywołać restart systemu - Wyciek informacji (Information exposure through an error message)
nieuwierzytelniony użytkownik może pobrać informacje, do których nie ma uprawnień
ICS-CERT zaleca minimalizowanie ryzyka poprzez:
- ograniczenie dostępu do systemu z sieci Internet;
- oddzielenie sieci, w których pracuje system, od pozostałych sieci firmowych zaporami sieciowymi;
- używanie VPN do zdalnych połączeń z systemem.
CERT PSE zachęca do zapoznania się z informacją o podatnościach na stronie producenta i śledzenia wpisów na stronie CERT, gdzie będziemy informować o aktualizacjach.
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny