Rambler's Top100
Все новости Новости компаний

Исследователь Positive Technologies обнаружил уязвимость в системе мониторинга дата-центров

31 января 2017

Специалисты Schneider Electric рекомендуют пользователям StruxureWare Data Center Expert как можно скорее установить обновления.

Эксперт компании Positive Technologies Илья Карпов выявил критическую уязвимость в системе Schneider Electric StruxureWare Data Center Expert, предназначенной для мониторинга физической инфраструктуры в центрах обработки данных. С помощью данного продукта банки, медиакорпорации, производители микросхем, страховщики, медицинские центры и компании других отраслей контролируют работу своих ЦОДов.

Обнаруженная уязвимость получила оценку 7.6 по шкале CVSS v3. Высокий уровень опасности связан с возможностью удаленно получить доступ к чувствительной информации, содержащейся в системах жизнеобеспечения дата-центра, подключенных к StruxureWare Data Center Expert. Атакующий может считать пароли из оперативной памяти этой платформы на стороне клиента, куда они попадают в незашифрованном виде.

«Используя данную брешь, злоумышленник может проникнуть во внутреннюю сеть дата-центра, заполучить конфиденциальную информацию или устроить аварию, — говорит руководитель отдела исследований и аудита промышленных систем управления Positive Technologies Илья Карпов. — Платформы управления инфраструктурой дата-центра (Data Center Infrastructure Management, DCIM) позволяют контролировать всю хозяйственную деятельность дата-центра, поэтому такая уязвимость ставит под угрозу работоспособность критически-важного оборудования ЦОДА: систем видеонаблюдения и пожаротушения, генераторов, переключателей, насосных станций, блоков управления двигателями, источников бесперебойного питания, прецизионных систем охлаждения».

Для устранения уязвимости производитель советует обновить StruxureWare Data Center Expert до версии 7.43.
В 20134 и 20145 годах эксперты Positive Technologies выявляли недостатки безопасности в ПО для построения SCADA-систем Schneider Electric Wonderware Information Server. На международном форуме по практической безопасности Positive Hack Days IV участники конкурса Critical Infrastructure Attack обнаружили целый ряд уязвимостей в системах Schneider Electric. Кроме того, в 2015 году Илья Карпов выявил проблему хранения паролей в открытом виде в InTouch Machine Edition 2014.
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.