Af Nicolai Devantier, 29/05/18
Schneider Electric beretter nu, at der er kommet en opdatering til firmaets EcoStruxure Machine Expert (tidligere SoMachine Basic). Den lukker for en alvorlig sårbarged i det værktøj, der anvendes til programmering af Schneiders Modicon M221 PLC (Programmable Logic Controller).
Sårbarheden (CVE-2018-7783) medfører en potentiel risiko for afvikling af eksterne kode på sårbare systemer. Det kan give adgang til følsom information som eksempelvis password, brugerdata eller detaljer om systemet.
For aktiv udnyttelse af systemet skal brugeren lokkes til at klikke på en specielt udformet fil, der er maskeret som et projekt eller en template-fil.
Schneider Electric har taget hånd om sårbarheden og udgivet en ny version (v1.6 SP1), som lukker ned for svagheden.
Anbefaling:
Opdater til den nyeste og sikre version.
Links:
- Schneider Electrics opdatering.
- Schneider Electric EcoStruxure™ Machine Experts’ SoMachine Basic 1.6.0 XXE OOB Remote Arbitrary Data Retrieval, detaljer om sårbarheden (PDF).
- Flaw in Schneider PLC Programming Tool Allows Remote Attacks, artikel fra SecurityWeek
- EcoStruxure Machine Expert, produktinformation fra Schneider Electric.
- Common Vulnerability Exposure (CVE) ID CVE-2018-7783