Cookien konfigurazioa

Cookie teknikoak

Aktiboak
Ikusi Cookiak

Erabiltzaileari web-orriaren bidez nabigatzeko eta bertan dauden aukerak edo zerbitzuak erabiltzeko aukera ematen diotenak dira, editoreak web-orriaren kudeaketa eta operatiboa ahalbidetzeko eta haren funtzioak eta zerbitzuak gaitzeko erabiltzen dituenak barne.

Cookie analitikoak

Ez aktiboak
Ikusi Cookiak

Webgunearen erabiltzaileen portaeraren jarraipena eta azterketa egiteko aukera ematen diote horien arduradunari. Cookie mota horien bidez bildutako informazioa webgunearen jarduera neurtzeko erabiltzen da, zerbitzuaren erabiltzaileek egiten dituzten erabilera-datuen analisiaren arabera hobekuntzak sartzeko

COOKIE OHARRA

SPRIren jabetzako web orri honek bere cookieak eta hirugarrengoenak erabiltzen ditu nabigatzea ahalbidetzeko, informazio estatistikoa osatzeko, zure nabigazio-ohiturak aztertzeko eta horien araberako publizitatea zuri igortzeko xedez. Cookie guztien erabilera baimentzeko, Onartu aukeran klik egin dezakezu; bestela, zein cookie-mota onartu eta zeini uko egingo diozun hauta dezakezu Cookieak Konfiguratu aukeraren bitartez. Halaber, informazio gehiago jaso dezakezu gure Cookie Politikan.Cookieak KonfiguratuOnartu

Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Schneider Electric-en produktuetan

Argitalpen data: 2018/11/27

Garrantzia: Ertaina

Kaltetutako baliabideak:

  • PLC, honako modeloak: Modicon M340, Premium, Quantum eta BMXNOR0200.

Azalpena:

Tenable-ko Jacob Baines ikertzaileak Schneider Electric-en zenbait produkturi eragiten dieten hainbat ahultasun aurkitu ditu. Egiaztatu gabeko pasahitz aldaketaren eta datuen baliozkotze okerraren erakoak dira eta horiek baliatuz gero, autentifikaziorik gabeko urruneko erasotzaile batek pasahitzak ikusi, aldatu edo ezaba litzake edo zerbitzuaren ukapen egoera eragin lezake.

Konponbidea:

Schneider Electric-ek Modicon Controllers Platform Cyber Security erreferentziazko gidaliburuan jasotzen diren jarraibideak betetzea gomendatzen du.

Prebentzio modura, web zerbitzaria desgaituta dago bere modu lehenetsian. Izan ere, web zerbitzuak soilik behar dira monitorizazio, konfigurazio eta mantenu lan zehatzak egiteko. Lan horiek egiteko gaitu egin beharko balitz, desgaitu egin behar da beharrezkoa ez den unean bertan.

Modu osagarrian, erabiltzaileei ondokoa egitea gomendatzen zaie:

  • Sarbide kontroleko zerrendak konfiguratzea, web zerbitzarirako sarbidea baimendutako IP helbideek soilik izan dezaten.
  • Modicon produktuetarako sarbidea suebakiekin babestea.

Xehetasuna:

  • Erasotzaile batek barneratuta dagoen web zerbitzariaren pasahitzak aldatzeko funtziora sarbidea lor lezake dagokion egiaztapenik gabe. Ahultasun horretarako CVE-2018-7811 identifikatzailea erreserbatu da.
  • Barneratuta dagoen web zerbitzariak pasahitzak ezabatzeko duen funtziora sartzeko dagoen egiaztapen desegokia baliatuz, autentifikaziorik gabeko urruneko erasotzaile batek bertara sartzea lor lezake. Ahultasun horretarako CVE-2018-7809 identifikatzailea erreserbatu da.
  • XSS baten bidez, erasotzaile batek JavaScript kodea duen URL bat alda lezake, erabiltzailearen nabigatzailearen barnean exekutatuko litzakeena eta nabigatzaile hori exekutatzen ari den gailuari eragingo liokeena. Ahultasun horretarako CVE-2018-7810 identifikatzailea erreserbatu da.
  • Autentifikatutako erabiltzaile bati URL manipulatu bat bidaliz zerbitzariaren pasahitza aldatzea lor liteke. Ahultasun horretarako CVE-2018-7831 identifikatzailea erreserbatu da.
  • HTTP goiburuetan CRLF sekuentzien neutralizazio desegoki baten bidez bereziki aldatutako HTTP eskaera bat bidalita, erasotzaile batek gutxi gorabehera minutu bateko iraupeneko zerbitzuaren ukapen egoera eragin lezake. Ahultasun horretarako CVE-2018-7830 identifikatzailea erreserbatu da.
Etiketak: Schneider Electric, Ahultasuna