Inyección de comandos en el software StruxureWare Building Operation de Schneider Electric

Fecha de publicación:

02/03/2016

Importancia:

4 - Alta

Recursos afectados:

Los productos afectados son los siguientes:

StruxureWare Building Operations Application Server, versión 1.7 y anteriores.

Descripción:

El investigador independiente Karn Ganeshen ha identificado una vulnerabilidad de inyección de comandos que afecta al software StruxureWare Building Operation de Schneider Electric.

Solución:

Schneider Electric a publicado una nueva versión del firmware del Application Server que soluciona esta vulnerabilidad.

Detalle:

Las vulnerabilidades identificadas son:

Gestión débil de credenciales: El sistema permite al usuario operar el sistema con credenciales por defecto débiles. Los usuarios son recomendados a realizar el cambio de credenciales pero es posible operar el sistema sin hacerlo. El usuario no es forzado a cambiar las credenciales previamente a la operación.
Inyección de comandos de sistema operativo: La implementación delas funciones de Minimal Shell (msh) permiten a los usuarios administradores eludir el control de accesos.

Esta vulnerabilidad puede ser aprovechada de forma remota.

Se ha reservado el identificador CVE-2016-2278 para esta vulnerabilidad.

Referencias:

Schneider Electric Building Operation Application Server Vulnerability

Struxureware Building Operations – Automation Server

Etiquetas:

Vulnerabilidad

Accesos corporativos

Inyección de comandos en el software StruxureWare Building Operation de Schneider Electric

Múltiples vulnerabilidades en varios productos de MB connect line

Vulnerabilidades en productos de Bosch con sistemas de comunicación CODESYS

Referencia a puntero nulo en módulos de interfaz Ethernet MELSEC-F de Mitsubishi Electric

Vulnerabilidad de falta de autenticación en WebAccess/NMS de Advantech

Múltiples vulnerabilidades en R-SeeNet de Advantech