Inyección de comandos en el software StruxureWare Building Operation de Schneider Electric

Fecha de publicación:

02/03/2016

Importancia:

4 - Alta

Recursos afectados:

Los productos afectados son los siguientes:

StruxureWare Building Operations Application Server, versión 1.7 y anteriores.

Descripción:

El investigador independiente Karn Ganeshen ha identificado una vulnerabilidad de inyección de comandos que afecta al software StruxureWare Building Operation de Schneider Electric.

Solución:

Schneider Electric a publicado una nueva versión del firmware del Application Server que soluciona esta vulnerabilidad.

Detalle:

Las vulnerabilidades identificadas son:

Gestión débil de credenciales: El sistema permite al usuario operar el sistema con credenciales por defecto débiles. Los usuarios son recomendados a realizar el cambio de credenciales pero es posible operar el sistema sin hacerlo. El usuario no es forzado a cambiar las credenciales previamente a la operación.
Inyección de comandos de sistema operativo: La implementación delas funciones de Minimal Shell (msh) permiten a los usuarios administradores eludir el control de accesos.

Esta vulnerabilidad puede ser aprovechada de forma remota.

Se ha reservado el identificador CVE-2016-2278 para esta vulnerabilidad.

Referencias:

Schneider Electric Building Operation Application Server Vulnerability

Struxureware Building Operations – Automation Server

Etiquetas:

Vulnerabilidad

Accesos corporativos

Inyección de comandos en el software StruxureWare Building Operation de Schneider Electric

Múltiples vulnerabilidades en MELSEC-F Series de Mitsubishi Electric

Múltiples vulnerabilidades en cámaras IP y servidores de vídeo de Moxa

Avisos de seguridad de Siemens de enero de 2022

Múltiples vulnerabilidades en productos de Schneider Electric

Múltiples vulnerabilidades en PLCs de IDEC