Défauts non corrigés dans Schneider Electric U.motion Builder divulgué

Les détails de plusieurs vulnérabilités affectant le logiciel U.motion Builder de Schneider Electric ont été divulgués avant que le fournisseur ne libère de correctifs.

U.motion de Schneider Electric est une solution d'automatisation de bâtiments utilisée dans le monde entier principalement dans les installations commerciales, les secteurs critiques de la fabrication et de l'énergie. U.motion Builder est un outil qui permet aux utilisateurs de créer des projets pour leurs appareils U.motion.

La chercheuse en sécurité Andrea Micalizzi, également connue sous le nom de «rgod», a découvert que le logiciel U.motion Builder, version 1.2.1 et antérieur, est affecté par plusieurs vulnérabilités, y compris celles évaluées comme critiques et de grande gravité .

Les avis publiés par ICS-CERT et le fournisseur décrivent les défauts en tant qu'injection SQL, traversée de parcours, contournement d'authentification, mot de passe codé en dur, contrôle d'accès incorrect, divulgation d'informations et déni de service (DoS)

Un attaquant peut exploiter les trous de sécurité pour exécuter du code et des commandes arbitraires, voler des fichiers, accéder au système avec de grands privilèges, obtenir des informations et provoquer une condition DoS – dans certains cas, même sans authentification .

Les trous de sécurité ont été signalés par Micalizzi à Schneider via Zero Day Initiative (ZDI) et ICS-CERT en mars 2016. Plusieurs mois plus tard, le fournisseur a déclaré qu'il attendait qu'un patch soit disponible par le Fin de l'année.

Étant donné que les corrections n'ont toujours pas été diffusées, ZDI a rendu public plus de 20 avis détaillant chacune des vulnérabilités trouvées par le chercheur dans U.motion …

Lire la suite (en anglais)

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore de votes)
Loading...

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Aller à la barre d’outils