Разработчики Schneider Electric исправили очередные уязвимости в оборудовании.
На этот раз это были три уязвимости в программе ProClima, предназначенной для проектирования климатических систем в шкафах с электротехническим оборудованием. Эксплуатация злоумышленниками багов могла привести к подмене DLL, выполнению несанкционированных операций в границах отведенной памяти и запуску сторонних скриптов в рамках целевой машины.
Наиболее серьезная уязвимость получила идентификатор CVE-2019-6824 и оценена специалистами в 9,8 балла по шкале CVSS. Критический недостаток связан с ошибкой буфера и позволяет злоумышленнику выполнять не предусмотренные разработчиками операции в границах выделенного диапазона памяти. Результатом таких действий может стать запуск стороннего кода без аутентификации на устройстве.
Другие две уязвимости могли привести к выполнению стороннего скрипта на целевом устройстве без авторизации и подмене DLL-библиотеку из легитимного комплекта приложения вредоносным файлом с таким же названием.
В прошлом году разработчикам Schneider Electric пришлось разбираться с ошибкой в семействе программируемых контроллеров Modicon M221. Уязвимость позволяла удаленно редактировать параметры протокола IPv4 в настройках прибора. Атака могла привести к изменению его сетевого идентификатора и дальнейшему перехвату трафика.
В декабре Schneider Electric исправила опасные уязвимости в линейке зарядных станций для электромобилей EVLink Parking. До этого Лаборатория Касперского», Schneider Electric и «ICL Системные технологии» заключили трехсторонний меморандум о сотрудничестве в области обеспечения информационной безопасности автоматизированных систем управления технологическими процессами (АСУ ТП).
Schneider Electric — французская энергомашиностроительная компания, один из ведущих мировых производителей оборудования для энергетических подкомплексов промышленных предприятий, объектов гражданского и жилищного строительства, центров обработки данных.
Читайте также на АКБ:
Кто хочет повелевать электричеством: в оборудовании Schneider Electric нашли критическую уязвимость
«Лаборатория Касперского»: все больше хакеров переключается на атаки промышленности