В терминалах Schneider Electric обнаружены опасные DoS-уязвимости
Специалисты компаний Check Point и Critifence сообщили о двух опасных уязвимостях в промышленных контроллерах производства Schneider Electric. Серия уязвимостей (CVE-2016-8367 (SVE-82003201) и CVE-2016-8374 (SVE-82003202)), получившая название PanelShock, содержится в контроллерах с человеко-машинным интерфейсом семейства Schneider Electric Magelis.
Проблемы существуют из-за некорректной обработки HTTP-запросов и некорректной реализации механизма управления потреблением ресурсов в Web Gate Server. Проэксплуатировав уязвимости, атакующий может удаленно вызвать «зависание» панели оператора, отключить ее от SCADA-сети и пресечь взаимодействие терминала с ПЛК и другими устройствами. В результате оператор панели может выполнить ошибочные действия и тем самым нарушить работу промышленного предприятия. Кроме того, путем эксплуатации вышеуказанных проблем злоумышленник может вызвать нежелательное поведение светосигнальных колонок Harmony XVGU, подключенных к терминалу.
Уязвимостям подвержены все версии прошивок следующих продуктов:
-
Magelis GTO Advanced Optimum;
-
Magelis GTU Universal;
-
Magelis STO и STU;
-
Magelis XBT GH;
-
Magelis XBT GK;
-
Magelis XBT GT;
-
Magelis XBT GTW (Windows XPe).
В настоящее время производитель работает над обновлением, устраняющим данные проблемы. Патч будет доступен в марте 2017 года.
Эксперты опубликовали видео с демонстрацией процесса эксплуатации PanelShock
Напомним, в конце октября нынешнего года стало известно о критической уязвимости в межсетевых экранах серии Schneider Electric ConneXium TCSEFEC, предназначенных для обеспечения защиты промышленных сетей, SCADA-систем и систем автоматизации от внешних угроз.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш