CH azonosító
CH-8283Angol cím
Schneider Electric Multiple Products SESU Update Spoofing VulnerabilityFelfedezés dátuma
2013.01.16.Súlyosság
MagasÉrintett rendszerek
IDSPowerSuite
SESU
Schneider Electric
Smart Widget Acti
Smart Widget H8035
Smart Widget H8036
Smart Widget PM210
Smart Widget PM710
Smart Widget PM750
SoMachine
Spacial.pro
Unity Pro
Vijeo Designer
Web Gate Client Files
Érintett verziók
Schneider Electric IDS 1.x, 2.x
Schneider Electric PowerSuite 2.x
Schneider Electric SESU 1.x
Schneider Electric Smart Widget Acti 9 1.x
Schneider Electric Smart Widget H8035 1.x
Schneider Electric Smart Widget H8036 1.x
Schneider Electric Smart Widget PM210 1.x
Schneider Electric Smart Widget PM710 1.x
Schneider Electric Smart Widget PM750 1.x
Schneider Electric SoMachine 1.x
Schneider Electric Spacial.pro 1.x
Schneider Electric Unity Pro 4.x, 5.x, 6.x
Schneider Electric Vijeo Designer 5.x, 6.x
Schneider Electric Web Gate Client Files 5.x
Összefoglaló
A Schneider Electric termékek olyan sérülékenységét jelentették, amelyet a támadók kihasználva feltörhetik a sérülékeny rendszert.
Leírás
A sérülékenységet az okozza, hogy a Schneider-Electric Software Update (SESU) eszköz nem biztonságos módon ellenőrzi az új frissítések érvényességét, amely kihasználható például egy frissítés hamisítására (spoof) Man-in-the-Middle (MitM) támadásokkal, ha a felhasználó rendszerére speciálisan összeállított csomagokat küldenek a 80/TCP portra. A sérülékenység sikeres kihasználásával tetszőleges kód futtatható a sérülékeny rendszeren.
A sérülékenységet a következő termékekben és verziókban jelentették:
- IDS 1.0 verzió
- IDS 2.0 verzió
- PowerSuite 2.5 verzió
- Smart Widget Acti 9 1.0.0.0 verzió
- Smart Widget H8035 1.0.0.0 verzió
- Smart Widget H8036 1.0.0.0 verzió
- Smart Widget PM210 1.0.0.0 verzió
- Smart Widget PM710 1.0.0.0 verzió
- Smart Widget PM750 1.0.0.0 verzió
- SoMachine 1.2.1 verzió
- Spacial.pro 1.0.0.x verziók
- SESU 1.0.x verziók
- SESU 1.1.x verziók
- Unity Pro 5.0 verzió
- Unity Pro 6.0 verzió
- Unity Pro 6.1 verzió
- Unity Pro 4.1 verzió
- Vijeo Designer 6.0.x verziók
- Vijeo Designer 6.1.0.x verziók
- Vijeo Designer 5.0.0.x verziók
- Vijeo Designer 5.1.0.x verziók
- Vijeo Designer Opti 6.0.x verziók
- Vijeo Designer Opti 5.1.0.x verziók
- Vijeo Designer Opti 5.0.0.x verziók
- Web Gate Client Files 5.1.x verzió
A sérülékenységet távolról ki lehet használni.
Megoldás
Frissítse a SESU klienset egy javított változatra.
További javaslatok a kockázatok csökkentésére:
- Minimalizálja a vezérlőrendszer eszközök hálózati elérhetőségét! A kritikus eszközök ne érjék el közvetlenül az Internetet!
- A vezérlőrendszer hálózatokat és a távolról elérhető eszközöket védje tűzfalakkal és szigetelje el őket az üzleti hálózattól!
- Távoli hozzáférés szükségessége esetén használjon olyan biztonsági megoldásokat, mint a virtuális magánhálózat (VPN)!
Támadás típusa
Input manipulation (Bemenet módosítás)Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: download.schneider-electric.com
Egyéb referencia: www.us-cert.gov
CVE-2013-0655 - NVD CVE-2013-0655
SECUNIA 51849
