Inyección de comandos en el software StruxureWare Building Operation de Schneider Electric

Fecha de publicación:

02/03/2016

Importancia:

4 - Alta

Recursos afectados:

Los productos afectados son los siguientes:

StruxureWare Building Operations Application Server, versión 1.7 y anteriores.

Descripción:

El investigador independiente Karn Ganeshen ha identificado una vulnerabilidad de inyección de comandos que afecta al software StruxureWare Building Operation de Schneider Electric.

Solución:

Schneider Electric a publicado una nueva versión del firmware del Application Server que soluciona esta vulnerabilidad.

Detalle:

Las vulnerabilidades identificadas son:

Gestión débil de credenciales: El sistema permite al usuario operar el sistema con credenciales por defecto débiles. Los usuarios son recomendados a realizar el cambio de credenciales pero es posible operar el sistema sin hacerlo. El usuario no es forzado a cambiar las credenciales previamente a la operación.
Inyección de comandos de sistema operativo: La implementación delas funciones de Minimal Shell (msh) permiten a los usuarios administradores eludir el control de accesos.

Esta vulnerabilidad puede ser aprovechada de forma remota.

Se ha reservado el identificador CVE-2016-2278 para esta vulnerabilidad.

Referencias:

Schneider Electric Building Operation Application Server Vulnerability

Struxureware Building Operations – Automation Server

Etiquetas:

Vulnerabilidad

Accesos corporativos

Inyección de comandos en el software StruxureWare Building Operation de Schneider Electric

Ejecución de código en Digi ConnectPort X2D Gateway

Divulgación de información en OPC UA .NET Standard Reference Server

Múltiples vulnerabilidades en Bosch BF-OS

Múltiples vulnerabilidades en productos ABB

Vulnerabilidad de denegación de servicio en productos Rockwell Automation