خلاصه: هفتهی گذشته اشنایدر ۴ آسیبپذیری در نرمافزار U.motion Builder را وصله کرد. این آسیبپذیریها شامل دو نقص بحرانی اجرای دستور بودند. امتیاز CVSS اختصاص داده شده به این آسیبپذیریها برابر با ۱۰ یعنی وضعیت بحرانی بوده است. توصیه میشود برای محافظت از سیستمهای خود، از فایروال مناسب استفاده کرده و نکات گفته شده در متن خبر را اعمال کنید.
شرکت سازنده محصولات الکتریکی اشنایدر ابزاری را طراحی کرده است که مناسب ایجاد پروژه هایی برای دستگاه های U.motion است که در صنایع مهم تولید انرژی و صنایع تجاری قرار می گیرند.
سوءاستفاده از این ابزار زمانی اتفاق میافتد که داده های یک رشته ورودی به عنوان یک دستور توسط برنامه، مورد ارزیابی قرار گیرد، به این ترتیب، مهاجم می تواند با استفاده از این اکسپلویت به اجرای کد بپردازد، پشته را بخواند، یا یک خطای تقسیمبندی در برنامه در حال اجرا ایجاد کند.
این آسیبپذیری سرریز بافر که با شناسهی CVE-2018-7784 ردیابی میشود، امتیاز CVSSی برابر با ۱۰ را کسب کرده است.
این آسیبپذیری توسط یک محقق چینی که از نام کاربری "bigric3" استفاده میکند گزارش شده است. این محقق همچنین آسیبپذیری تزریق دستور دیگری را نیز گزارش کرده است، این آسیبپذیری به شناسهی CVE-2018-7784 ردیابی میشود، میتواند از راه دور برای دور زدن احراز اصالت مورد سوءاستفاده قرار گیرد. به این نقص نیز امتیاز CVSS برابر با ۱۰ اختصاص داده شده است.
هر یک از این نقص ها میتوانند توسط یک مهاجم از راه دور بدون مهارت خاص مورد سوء استفاده قرار گیرند. Bigric3 همچنین در برنامه U.motion یک آسیب پذیری اسکریپت بین-وبگاهی (XSS) که با شناسهی CVE-2018-7786 ردیابی میشود را گزارش کرد. NCCIC راهکارهایی در رابطه با نحوهی کاهش خطر بهرهبرداری از این آسیبپذیریها منتشر کرده است. با توجه به این گزارشات کاربران باید :
· درصورت امکان از در معرض شبکه قرار دادن تمام دستگاههای سیستم های کنترلی خودداری کرده و از غیرقابل دسترسی بودن آنها از طریق اینترنت اطمینان حاصل کنند.
· شبکه های سیستم کنترل و دستگاه های راه دور را پشت فایروال قرار داده و آنها را از شبکه تجاری جدا کنند.
· هنگامی که دسترسی از راه دور مورد نیاز است از روش های امن مانند شبکه های مجازی خصوصی (VPN) استفاده کنند، (توجه داشته باشید که VPNها ممکن است آسیبپذیریهایی داشته باشند بنابراین باید به آخرین نسخه موجود به روز شوند.)
· قبل از اعمال تدابیر دفاعی، به تجزیه و تحلیل و ارزیابی خطر بپردازند.
