Inyección de comandos en el software StruxureWare Building Operation de Schneider Electric

Fecha de publicación:

02/03/2016

Importancia:

4 - Alta

Recursos afectados:

Los productos afectados son los siguientes:

StruxureWare Building Operations Application Server, versión 1.7 y anteriores.

Descripción:

El investigador independiente Karn Ganeshen ha identificado una vulnerabilidad de inyección de comandos que afecta al software StruxureWare Building Operation de Schneider Electric.

Solución:

Schneider Electric a publicado una nueva versión del firmware del Application Server que soluciona esta vulnerabilidad.

Detalle:

Las vulnerabilidades identificadas son:

Gestión débil de credenciales: El sistema permite al usuario operar el sistema con credenciales por defecto débiles. Los usuarios son recomendados a realizar el cambio de credenciales pero es posible operar el sistema sin hacerlo. El usuario no es forzado a cambiar las credenciales previamente a la operación.
Inyección de comandos de sistema operativo: La implementación delas funciones de Minimal Shell (msh) permiten a los usuarios administradores eludir el control de accesos.

Esta vulnerabilidad puede ser aprovechada de forma remota.

Se ha reservado el identificador CVE-2016-2278 para esta vulnerabilidad.

Referencias:

Schneider Electric Building Operation Application Server Vulnerability

Struxureware Building Operations – Automation Server

Etiquetas:

Vulnerabilidad

Accesos corporativos

Inyección de comandos en el software StruxureWare Building Operation de Schneider Electric

Múltiples vulnerabilidades en Field Xpert de ENDRESS+HAUSER

Múltiples vulnerabilidades en móviles ecom de PEPPERL+FUCHS

Vulnerabilidad de elemento de ruta de búsqueda no controlado en Sentinel UltraPro de Gemalto

Verificación inadecuada de condiciones inusuales en Triconex TriStation Emulator de Schneider Electric

Múltiples vulnerabilidades en productos de Schneider Electric