施耐德電氣公司的U.motion Builder軟體曝出未修復安全漏洞

E安全7月5日訊 施耐德電氣U.motion Builder軟體安全漏洞詳細信息遭到曝光，而相關廠商目前尚未發布任何修復補丁。

施耐德電氣公司的U.motion是一套自動化機制構建解決方案，目前被廣泛用於全球範圍內的各商業設施、關鍵性製造以及能源行業。U.motion Builder這款工具允許用戶為各類U.motion設備創建出與需求相適應的項目。

昵稱為「rgod」的安全研究人員安德雷·米凱萊茨發現U.motion Builder軟體的1.2.1版本與此前的多個版本存在數項安全漏洞，其中包括數項嚴重級別及高危級別漏洞。

根據ICS-CERT以及施耐德公司發布的諮詢報告所言，這批安全漏洞包括SQL注入、路徑遍歷、身份驗證繞過、硬編碼密碼、不正確訪問控制、信息泄露以及拒絕服務（簡稱DoS）等多個問題。

漏洞可能帶來的影響

攻擊者可以利用此安全漏洞執行任意代碼與命令、竊取文件、以高許可權身份訪問系統、獲取信息並為DoS攻擊建立必要條件，在某些情況下，甚至無需進行身份驗證即可實現上述目標。這些安全漏洞早在2016年3月即由米凱萊茨通過零日倡議項目（簡稱ZDI）上報給施耐德公司與ICS-CERT。幾個月之後，該廠商作出回應，表示預計將在2016年年底發布可用修復補丁。

暫無補丁更新

然而截至目前，相關修復補丁仍未正式發布，因此ZDI公布了20多條建議以詳細介紹研究人員在U.motion Builder軟體當中發現的每一項安全漏洞。這些建議包括惡意人士可能利用的詳盡漏洞信息，例如受到影響的文件與相關參數。

臨時應對措施

施耐德電氣公司目前已經承諾在今年8月末之前發布一項更新，同時提醒客戶在補丁發布後應第一時間更新安裝。另外，該公司還建議用戶將受影響軟體置於防火牆保護之下，確保託管該軟體的設備不與網路相連接，使用應用程序白名單與訪問控制功能，同時保證僅接入來自受信VPN的遠程訪問。

事實上，這已經不是研究人員第一次在相關供應商遲遲未有發布補丁或者提供更新報告的情況下，選擇將安全漏洞信息公諸於眾——施耐德公司此前也遇到過類似的狀況。今年4月，專家們發現兩項對施耐德PLC存在影響的安全漏洞。該公司雖然承認了問題的存在，但卻未將其作為獨立事件認真對待。

ICS-CERT亦在本周公布了多份諮詢報告，其中針對西門子公司旗下Viewport for Web Office Portal、SIMATIC、SINUMERIK以及SIMOTION等產品內的重大安全缺陷給出了相關建議。

相關閱讀：

施耐德「不聽勸」、不重視，工控設備固件仍在使用硬編碼密碼

PanelShock「零日漏洞」影響施耐德HMI人機面板系列產品

E安全註：本文系E安全獨家編譯報道，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！