Schneider Electric ha rilasciato una patch per StruxureWare Data Center Expert[1] e raccomanda ai propri utenti di installare al più presto gli aggiornamenti disponibili. Positive Technologies - produttore leader nella fornitura di soluzioni di sicurezza aziendale, gestione delle vulnerabilità, analisi delle minacce e protezione delle applicazioni – ha recentemente annunciato di aver rilevato una vulnerabilità critica nel sistema StruxureWare Data Center Expert di Schneider Electric. StruxureWare Data Center Expert è una soluzione DCIM (Data Center Infrastructure Management) progettata per la gestione dell’infrastruttura fisica, incluse sicurezza, energia e ambiente.
L’uso della vulnerabilità consente un estraneo di ottenere l’accesso remoto a dati sensibili. La soluzione di Schneider Electric, progettata per monitorare l’infrastruttura fisica dei Data Center (DC), viene utilizzata da banche, società di media, compagnie assicurative, centri medici e altre aziende per gestire completamente il corretto funzionamento dei propri DC, dal sistema di raffreddamento ai generatori di backup. La vulnerabilità rilevata è stata valutata 7.6 sulla scala CVSS v3 (Common Vulnerability Scoring System), un alto livello di pericolo legato al possibile accesso da remoto di un estraneo in grado di accedere alle informazioni sensibili contenute nei sistemi di supporto dei Data Center associati a StruxureWare Data Center Expert.
A causa di questa vulnerabilità gli hacker sono in grado di recuperare le password dalla memoria operativa dal lato cliente della piattaforma dove queste vengono tenute in forma non criptata. In pratica un malintenzionato può ottenere le password dalla RAM. “Un hacker potrebbe usare questa vulnerabilità per accedere alla rete interna dei Data Center, ottenere informazioni confidenziali o addirittura causare danni fisici. Le piattaforme DCIM (Data Center Infrastructure Management) permettono di controllare tutta l’attività dei Data Center in quanto collegate a tutti i sistemi installati”, ha commentato Ilya Karpov, Responsabile del Dipartimento di Ricerca e di Analisi dei Sistemi di Controllo Industriali di Positive Technologies.
“Una vulnerabilità di questo tipo minaccia il corretto funzionamento di tutti i sistemi dai quali i DC dipendono: i sistemi di videosorveglianza, gli impianti di estinzione, i generatori di backup, gli interruttori, le stazioni di pompaggio, le centraline dei motori e gli impianti di raffreddamento”, ha aggiunto Karpov. Per eliminare le vulnerabilità Positive Technologies raccomanda di aggiornare StruxureWare Data Center Expert alla versione 7.4[2]. Vulnerabilità in Schneider Electric erano già state rilevate dagli esperti di Positive Technologies negli scorsi anni: nel 2013 e nel 2014 erano state riscontrate falle nel Wonderware Information Server[3], il software dell’azienda per i sistemi SCADA (Supervisory Control. And Data Acquisition).
Mentre alla IV edizione dei Positive Hack Days i partecipanti alla competizione Critical Infrastructure Attack avevano rilevato altre vulnerabilità. Inoltre, nel 2015, Ilya Karpov aveva riscontrato un problema in InTouch Machine Edition 2014 legato allo storage delle password non criptate. Durante la connessione a server da HMI, nomi utente disponibili erano presentati alla schermata che consentiva potenziali attacchi di forza bruta. Schneider Electric ha rilasciato una patch che ha permesso di rimediare alla vulnerabilità riscontrata. Positive Technologies è un’azienda leader che fornisce le soluzioni per vulnerability assessment, compliance management e analisi delle minacce a oltre 1000 clienti corporate in tutto il mondo. Per saperne di più, visitare: www.ptsecurity.com.
[1] Una soluzione per la gestione centralizzata dell'infrastruttura fisica. Nel dettaglio: http://bit.ly/2kZBXEy
[2] E’ possibile scaricare l’aggiornamento dal sito web: http://bit.ly/2k9URa1
[3] Una piattaforma industriale strategica per soluzioni di supervisione e gestione. Nel dettaglio: http://wwhub.ws/2l52lZr
Fonte: Seigradi
Nessun commento:
Posta un commento