فا

‫ آسيب پذيري اعتبارنامه متن آشكار موجود در StruxureWare Building Expert

آسيب پذيري اعتبارنامه متن آشكار موجود در StruxureWare Building Expert

محقق مستقل Artyom Kurbatov يك آسيب پذيري انتقال متن آشكار در محصول StruxureWare Building Expert شركت Schneider Electric شناسايي كرده است. شركتSchneider يك نسخه سفت‌افزار جديد توليد كرده است كه اين آسيب پذيري را كاهش ميدهد. Artyom Kurbatov نسخه سفت افزار جديد را به اعتبار اينكه آسيب پذيري را برطرف ميكند تست كرده است. سوءاستفاده از اين آسيب پذيري ميتواند از راه دور انجام شود.

محصولات تحت¬تأثير

محصول تحت تأثير، StruxureWare Building Exper، يك سيستم اتوماسيون ساختمان براي ساختمان هاي اندازه متوسط است. به گفته شركتSchneider ، StruxureWare Building Expert در بخش تسهيلات تجاري مستقر شده است. شركتSchneider تخمين ميزند اين محصولات در سراسر جهان استفاده ميشوند. از محصولات شركتSchneider در كشور ايران در صنايع سيمان، خودرو سازي و فولاد استفاده مي شود.

شركتSchneider گزارش ميدهد كه اين آسيب پذيري نسخه هاي StruxureWare Building Expert زير را تحت تأثير قرار ميدهد:

StruxureWare Building Expert، دستگاه مديريت چند منظوره (MPM) نسخه هاي قبل از 2. 15

تأثيرات آسيب پذيري

اگر يك مهاجم موفق به بهره برداري از اين آسيب پذيري شود، ممكن است اعتبارنامه ورود كاربران را به دست آورد. تأثير اين آسيب پذيري روي سازمان ها به فاكتور هاي متعددي كه براي هر سازمان منحصربه فرد هستند، بستگي دارد. NCCIC/ICS-CERT به سازمان ها توصيه ميكند تأثير اين آسيب پذيري را براساس محيط عملياتي، معماري و پياده سازي محصول خود ارزيابي كنند.

اقدامات جهت كاهش شدت آسيب¬پذيري

شركتSchneider همه مشتريان را به ارتقاء MPM هاي خود به نسخه 2. 15 يا بالاتر كه اخيرا منتشر شده براي كاهش خطرات مرتبط با اين آسيب پذيري تشويق ميكند. برنامه ريزي روش هاي ارتقاء قبل از انجام جلوگيري از خرابي هاي غيرضروري و مهندسي مجدد مهم است.

مركز ماهر صاحبان دارايي را به انجام تدابير امنيتي اضافي براي محافظت در برابر اين آسيب پذيري و ديگر خطرات امنيت سايبري تشويق ميكند.

درصورت امكان، براي ارتباطات، دستگاه ها را براي استفاده از رمزنگاري كه ممكن است شامل SSL يا ديگر پروتكل هاي امنيتي باشد پيكربندي كنيد.

قرار گرفتن در معرض شبكه براي تمام دستگاه هاي سيستم و/يا سيستم هاي كنترلي را به حداقل برسانيد، و مطمئن شويد كه آنها از طريق اينترنت قابل دسترسي نيستند.

شبكه هاي سيستم كنترل و دستگاه هاي از راه دور را در پشت ديوارآتش مستقر سازند، و آن ها را از شبكه تجاري جدا سازند.

هنگامي كه دسترسي از راه دور مورد نياز است، از روش هاي امن، مانند شبكه هاي خصوصي مجازي (VPNs) استفاده كنيد، ميدانيم كه VPNها ممكن است آسيب پذيري هايي داشته باشند و بايد به جديدترين نسخه موجود به روز شوند. همچنين ميدانيم كه تنها امنيت دستگاه هاي متصل را تأمين ميكند.

مركز ماهر يادآور ميشود كه سازمان ها قبل از قرار دادن تدابير امنيتي، تحليل مناسب تأثير و ارزيابي خطر را انجام دهند.


نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 13 دی 1394

امتیاز

امتیاز شما
تعداد امتیازها: 0