หน้าแรก Data Center พบช่องโหว่ Zero-day บนระบบ StruxureWare ของ Schneider Electric

พบช่องโหว่ Zero-day บนระบบ StruxureWare ของ Schneider Electric

แบ่งปัน

ทางทีมวิจัยด้านความปลอดภัยทางไซเบอร์ที่ชื่อ Red Team ของบริษัท TIM ซึ่งเป็นหน่วยงานของอิตาลีที่คอยตรวจหาช่องโหว่ที่ไม่เคยมีใครค้นพบมาก่อนโดยเฉพาะนั้น ได้ออกมาระบุพบช่องโหว่ในระบบของบริษัทข้ามชาติรายใหญ่ด้านพลังงานและออโตเมชั่นของยุโรปอย่าง Schneider Electric

โดยเป็นช่องโหว่แบบ Zero-day หรือไม่เคยมีการเผยแพร่ต่อสาธารณะมาก่อนด้วย อย่างไรก็ตาม จากแนวทางของทีมวิจัยนี้ จะมีการติดต่อส่วนตัวไปยังผู้พัฒนาซอฟต์แวร์ก่อนเพื่อให้วิเคราะห์และแก้ไขหรืออุดช่องโหว่ภายใน 90 วัน

ช่องโหว่ของบริษัทรายใหญ่ในยุโรปนี้มีถึง 6 รายการด้วยกัน ได้แก่รหัส CVE-2020-7569 ที่เปิดให้อัพโหลดไฟล์ที่เป็นอันตรายได้ กระทบกับซอฟต์แวร์ Schneider Electric StruxureWare Building Operation WebReports เวอร์ชั่น 1.0 – 3.1

ต่อมาเป็นช่องโหว่ CVE-2020-7572 ที่เปิดการอ้างอิง XML ภายนอกได้อย่างไม่เหมาะสม, ช่องโหว่ CVE-2020-7570 และ CVE-2020-7571 ที่เกี่ยวกับ Cross-Site Scripting, ช่องโหว่ CVE-2020-28209 เกี่ยวกับพาธบนวินโดวส์, และ CVE-2020-7573 ที่เกี่ยวกับการควบคุมการเข้าถึงที่ไม่เหมาะสม

ที่มา : GBHacker