新闻快讯
< >

施耐德电气公司的U.motion Builder软件曝出未修复安全漏洞

E安全7月5日讯 施耐德电气U.motion Builder软件安全漏洞详细信息遭到曝光,而相关厂商目前尚未发布任何修复补丁。

施耐德电气公司的U.motion是一套自动化机制构建解决方案,目前被广泛用于全球范围内的各商业设施、关键性制造以及能源行业。U.motion Builder这款工具允许用户为各类U.motion设备创建出与需求相适应的项目。

昵称为“rgod”的安全研究人员安德雷·米凯莱茨发现U.motion Builder软件的1.2.1版本与此前的多个版本存在数项安全漏洞,其中包括数项严重级别及高危级别漏洞。

施耐德电气公司的U.motion Builder软件曝出未修复安全漏洞-E安全

根据ICS-CERT以及施耐德公司发布的咨询报告所言,这批安全漏洞包括SQL注入、路径遍历、身份验证绕过、硬编码密码、不正确访问控制、信息泄露以及拒绝服务(简称DoS)等多个问题。

漏洞可能带来的影响

攻击者可以利用此安全漏洞执行任意代码与命令、窃取文件、以高权限身份访问系统、获取信息并为DoS攻击建立必要条件,在某些情况下,甚至无需进行身份验证即可实现上述目标。这些安全漏洞早在2016年3月即由米凯莱茨通过零日倡议项目(简称ZDI)上报给施耐德公司与ICS-CERT。几个月之后,该厂商作出回应,表示预计将在2016年年底发布可用修复补丁。

暂无补丁更新

然而截至目前,相关修复补丁仍未正式发布,因此ZDI公布了20多条建议以详细介绍研究人员在U.motion Builder软件当中发现的每一项安全漏洞。这些建议包括恶意人士可能利用的详尽漏洞信息,例如受到影响的文件与相关参数。

临时应对措施

施耐德电气公司目前已经承诺在今年8月末之前发布一项更新,同时提醒客户在补丁发布后应第一时间更新安装。另外,该公司还建议用户将受影响软件置于防火墙保护之下,确保托管该软件的设备不与网络相连接,使用应用程序白名单与访问控制功能,同时保证仅接入来自受信VPN的远程访问。

事实上,这已经不是研究人员第一次在相关供应商迟迟未有发布补丁或者提供更新报告的情况下,选择将安全漏洞信息公诸于众——施耐德公司此前也遇到过类似的状况。今年4月,专家们发现两项对施耐德PLC存在影响的安全漏洞。该公司虽然承认了问题的存在,但却未将其作为独立事件认真对待。

ICS-CERT亦在本周公布了多份咨询报告,其中针对西门子公司旗下Viewport for Web Office Portal、SIMATIC、SINUMERIK以及SIMOTION等产品内的重大安全缺陷给出了相关建议。

相关阅读:

施耐德“不听劝”、不重视,工控设备固件仍在使用硬编码密码
PanelShock“零日漏洞”影响施耐德HMI人机面板系列产品

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。