Inyección de comandos en el software StruxureWare Building Operation de Schneider Electric

Fecha de publicación:

02/03/2016

Importancia:

4 - Alta

Recursos afectados:

Los productos afectados son los siguientes:

StruxureWare Building Operations Application Server, versión 1.7 y anteriores.

Descripción:

El investigador independiente Karn Ganeshen ha identificado una vulnerabilidad de inyección de comandos que afecta al software StruxureWare Building Operation de Schneider Electric.

Solución:

Schneider Electric a publicado una nueva versión del firmware del Application Server que soluciona esta vulnerabilidad.

Detalle:

Las vulnerabilidades identificadas son:

Gestión débil de credenciales: El sistema permite al usuario operar el sistema con credenciales por defecto débiles. Los usuarios son recomendados a realizar el cambio de credenciales pero es posible operar el sistema sin hacerlo. El usuario no es forzado a cambiar las credenciales previamente a la operación.
Inyección de comandos de sistema operativo: La implementación delas funciones de Minimal Shell (msh) permiten a los usuarios administradores eludir el control de accesos.

Esta vulnerabilidad puede ser aprovechada de forma remota.

Se ha reservado el identificador CVE-2016-2278 para esta vulnerabilidad.

Referencias:

Schneider Electric Building Operation Application Server Vulnerability

Struxureware Building Operations – Automation Server

Etiquetas:

Vulnerabilidad

Accesos corporativos

Inyección de comandos en el software StruxureWare Building Operation de Schneider Electric

Múltiples vulnerabilidades en FlexNet Publisher de Flexera

Vulnerabilidad en el servidor web de CODESYS de 3S-Smart Software Solutions GmbH

Múltiples vulnerabilidades en productos de Moxa

Uso de función obsoleta en CX-Supervisor de Omron

Nivel de cifrado inadecuado en IntelliBridge de Philips