施耐德电气公司U.motion Builder软件未修复安全漏洞信息遭曝光
近日,施耐德电气公司U.motion Builder软件安全漏洞详细信息遭曝光,因相关厂商迟迟未发布任何修复补丁。这批安全漏洞涵盖SQL注入、路径遍历、身份验证绕过、硬编码密码、不正确访问控制、信息泄露以及拒绝服务(DoS)等多种类型,允许攻击者窃取数据、执行任意代码、发起DoS攻击等。2016年3月,安全研究人员米凯莱茨发现了这些漏洞,并通过零日倡议项目(ZDI)上报给了施耐德公司与ICS-CERT。数月后,施耐德回应称,将在2016年年底发布可用修复补丁,但迄今为止相关补丁仍未发布。目前,施耐德表示,将在8月末发布更新补丁。该公司还建议用户采取设置防火墙、使用应用程序白名单和访问控制功能、保证仅接入来自可信VPN的远程访问等措施。
据了解,U.motion是一套自动化机制构建解决方案,目前广泛应用于全球商业、关键性制造业以及能源行业的各类设施。U.motion Builder工具允许用户为各类U.motion设备创建与需求相适应的项目。