CH azonosító
CH-13685Angol cím
Schneider Electric Magelis HMI vulnerabilityFelfedezés dátuma
2016.11.01.Súlyosság
MagasÉrintett rendszerek
MagelisSchneider Electric
Érintett verziók
Magelis GTO Advanced Optimum panels
Magelis GTU Universal panel
Magelis STO5xx & STU Small panels & SCU
Magelis XBT GH Advanced Hand-held Panel
Magelis XBT GK Advanced Touchscreen Panels with Keyboard
Magelis XBT GT Advanced Touchscreen Panels
Magelis XBT GTW Advanced Open Touchscreen Panels (Windows XPe)
Összefoglaló
A Schneider Electric Magelis HMI sérülékenységeit jelentették, amelyeket kihasználva szolgáltatás-megtagadás érhető el. A sérülékenységet kiküszöbölő megoldás még nem szerezhető be a gyártótól.
Leírás
- A sérülékenységet a Web Gate Server HTTP kapcsolatok kezelési hibája okozza. A támadó sorozatos HTTP kéréseket kezdeményezve fokozott erőforrásfelhasználást érhet el, amely az eszközökkel (pl.: PLC) való kommunikáció elvesztéséhez vezethet.
- A támadó megzavarhatja a webszervert, amely szolgáltatásmegtagadáshoz vezethet. Az állapot csak az eszköz újraindításával szüntethető meg.
Megoldás
A sérülékenységet javító frissítés várhatóan 2017 márciusának végén érkezik, addig is a potenciális kitettség minimalizásála érdekében részletes javaslatok érhetőek el a felhasználók számára a gyártó weboldalán.
Támadás típusa
Deny of service (Szolgáltatás megtagadás)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.schneider-electric.com
Egyéb referencia: ics-cert.us-cert.gov