Уязвимости в Schneider PowerLogic позволяют вызвать сбой в работе устройств

16 июня 2021 года

<dynamicpagelist>

category = Опубликовано category = Информационная безопасность notcategory = Не публиковать notcategory = Ожидаемые события по датам notcategory = Архивные новости notcategory=Викиновости коротко count = 18 stablepages = only suppresserrors = true namespace = Main addfirstcategorydate = true ordermethod = created </dynamicpagelist>

Wikinews-logo-ru.svg

В неподдерживаемых продуктах Schneider Electric PowerLogic были обнаружены опасные уязвимости. Их эксплуатация позволяет злоумышленникам удаленно управлять устройствами или нарушать их работу.

Как сообщили специалисты компании Schneider, коммуникационные шлюзы PowerLogic EGX100 и EGX300 содержат в общей сложности 12 уязвимостей. Проблемы могут быть использованы для доступа к устройствам, осуществления атак типа «отказ в обслуживании» (DoS) и для удаленного выполнения кода. Компания больше не выпускает обновления для данных устройств, поскольку срок поддержки подошел к концу.

Пять проблем являются критическими или опасными и связаны с некорректной проверкой входных данных. Их можно использовать для DoS-атак или удаленного выполнения кода с помощью специально сформированных HTTP-пакетов.

Еще одна уязвимость в PowerLogic связана с механизмом восстановления пароля и ее можно использовать для получения доступа к устройству с правами администратора.

Хотя проблемы и были обнаружены в устройствах EGX, Schneider определила, что две уязвимости также затрагивают устройства измерения мощности PowerLogic PM55xx из-за совместного использования кода web-сервера.

CVE-2021-22763 представляет собой бэкдор-аккаунт, который дает полный административный доступ к web-серверу устройства. В случае с CVE-2021-22764, например, удаленный неавторизованный злоумышленник может отправить HTTP-запросы, заставляющие устройство блокировать доступ к подключенным устройствам.

Продукция PowerLogic EGX100 и EGX300 снята с производства и больше не поддерживается производителем. Клиенты могут либо заменить устройства, либо реализовать меры по предотвращению эксплуатации уязвимостей, рекомендованные поставщиком. В случае продуктов PowerLogic PM55xx компания Schneider выпустила обновления прошивки, устраняющие две уязвимости.

 

ИсточникиПравить

Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
 

Комментарии:Уязвимости в Schneider PowerLogic позволяют вызвать сбой в работе устройств