Schweitzer Engineering Laboratories AcSELerator QuickSet sérülékenység

CH azonosító

CH-8807

Angol cím

SCHWEITZER ENGINEERING LABORATORIES ACSELERATOR IMPROPER AUTHORIZATION VULNERABILITY

Felfedezés dátuma

2013.03.27.

Súlyosság

Közepes

Érintett rendszerek

AcSELerator QuickSet
Schweitzer Engineering Laboratories

Érintett verziók

SEL AcSELerator QuickSet 5.12.0.1 előtti verziók

Összefoglaló

A Schweitzer Engineering Laboratories AcSELerator QuickSet egy sérülékenységét jelentették, amit kihasználva a támadók bizalmas információkat szerezhetnek, módosíthatnak egyes adatokat, valamint szolgáltatás megtagadást (DoS – Denial of Service) idézhetnek elő.

Leírás

A SEL AcSELerator QuickSet alkalmazás nem korlátozza kizárólag az adminisztrátor felhasználók részére a telepített, futtatható állományokhoz történő hozzáférést. Egy rosszindulatú, bármilyen szintű hozzáféréssel rendelkező támadó kicserélheti a SEL Program Files mappában lévő bináris állományokat tetszőleges programokra. Ha egy felhasználó futtatni akarja ezeket a programokat, a káros kód is végrehajtásra kerül.

A sérülékenység sikeres kihasználásához egy helyi felhasználói fiók szükséges.

Megoldás

A gyártó kiadta a szoftver legfrissebb verzióját.

További javaslatok a kockázatok csökkentésére:

  • Minimalizálja a vezérlőrendszer eszközök hálózati elérhetőségét! A kritikus eszközök ne érjék el közvetlenül az Internetet!
  • A vezérlőrendszer hálózatokat és a távolról elérhető eszközöket védje tűzfalakkal és szigetelje el őket az üzleti hálózattól!
  • Távoli hozzáférés szükségessége esetén használjon olyan biztonsági megoldásokat, mint a virtuális magánhálózat (VPN)!