x

Blog

دو آسیب پذیری حیاتی در محصولات اشنایدر

خلاصه: هفته‌ی گذشته اشنایدر 4 آسیب‌پذیری در نرم‌افزار U.motion Builder را وصله کرد. این آسیب‌پذیری‌ها شامل دو نقص بحرانی اجرای دستور بودند. امتیاز CVSS اختصاص داده شده به این آسیب‌پذیری‌ها برابر با 10 یعنی وضعیت بحرانی بوده است. توصیه می‌شود  برای محافظت از سیستم‌های خود، از فایروال مناسب استفاده کرده و نکات گفته شده در متن خبر را اعمال کنید.

 

شرکت سازنده محصولات الکتریکی اشنایدر ابزاری را طراحی کرده ­است که مناسب ایجاد پروژه ­هایی برای دستگاه­ های U.motion است که در صنایع مهم تولید انرژی و صنایع تجاری قرار می­ گیرند.
سوءاستفاده از این ابزار زمانی اتفاق می‌افتد که داده­ های یک رشته ورودی به عنوان یک دستور توسط برنامه، مورد ارزیابی قرار گیرد، به این ترتیب، مهاجم می­ تواند با استفاده از این اکسپلویت به اجرای کد بپردازد، پشته را بخواند، یا یک خطای تقسیم­بندی در برنامه در حال اجرا ایجاد کند.
این آسیب‌پذیری سرریز بافر که با شناسه‌ی CVE-2018-7784 ردیابی می‌شود، امتیاز CVSSی برابر با 10 را کسب کرده است.
این آسیب‌پذیری توسط یک محقق چینی که از نام‌ کاربری "bigric3" استفاده می‌کند گزارش شده است. این محقق همچنین آسیب‌پذیری تزریق دستور دیگری را نیز گزارش کرده است، این آسیب‌پذیری به شناسه‌ی CVE-2018-7784 ردیابی می‌شود، می‌تواند از راه دور برای دور زدن احراز اصالت مورد سوءاستفاده قرار گیرد. به این نقص نیز امتیاز CVSS برابر با 10 اختصاص داده شده است.
هر یک از این نقص­ ها می­توانند توسط یک مهاجم از راه دور بدون مهارت خاص مورد سوء استفاده قرار گیرند. Bigric3 همچنین در برنامه U.motion یک آسیب­ پذیری اسکریپت بین-وب‌گاهی (XSS)  که با شناسه‌ی CVE-2018-7786 ردیابی می‌شود را گزارش کرد. NCCIC راه‌کارهایی در رابطه با نحوه‌ی کاهش خطر بهره‌برداری از این آسیب‌پذیری‌ها منتشر کرده است. با توجه به این گزارشات کاربران باید :
·  درصورت امکان از در معرض شبکه قرار دادن تمام دستگاه­های سیستم­ های کنترلی خودداری کرده و از غیرقابل دسترسی بودن آن­ها از طریق اینترنت اطمینان حاصل کنند.
·  شبکه ­های سیستم کنترل و دستگاه­ های راه دور را پشت فایروال قرار داده و آن­ها را از شبکه تجاری جدا کنند.
·   هنگامی که دسترسی از راه دور مورد نیاز است از روش­ های امن مانند شبکه­ های مجازی خصوصی (VPN) استفاده کنند، (توجه داشته باشید که VPNها ممکن است آسیب­پذیری‌هایی داشته باشند بنابراین باید به آخرین نسخه موجود به روز شوند.)
·    قبل از اعمال تدابیر دفاعی، به تجزیه و تحلیل و ارزیابی خطر  بپردازند.  

 

 

    

Persian English French German Russian Spanish
کلیه حقوق این سایت متعلق به مرکز تخصصی آپا دانشگاه صنعتی اصفهان می‌باشد. استفاده از مطالب تنها در صورت دریافت تاییدیه کتبی مجاز است.

تحت نظارت وف ایرانی