Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Sarrera datuen egiaztapen okerra ABBren Panel Builder 800en

Argitalpen data: 2018/07/09

Garrantzia: Handia

Kaltetutako baliabideak:

  • Panel Builder 800en bertsio guztiak

Azalpena:

Leahy Center for Digital Investigation-eko Michael DePlante ikertzaileak eta Trend Microko Michael Flandersek, biak Trend Microko Zero Day Initiativerekin lankidetzan, sarrera datuen egiaztapen okerreko ahultasun bat aurkitu dute. Erasotzaile batek ahultasun hori balia lezake kode arbitrarioa sartu eta exekutatzeko.

Konponbidea:

Une honetan ABB ahultasun hau ikertzen ari da, erabiltzaileei babes egokia eskaintzearren. Arazoa etorkizuneko bertsioetan konponduko da. Nolanahi ere, kaltetutako produktuen eguneraketak eskuragarri jarri bitartean, fabrikatzaileak adierazitako arintze neurriak jarraitzea aholkatzen da.
Gomendatutako segurtasun praktikek eta firewallaren konfigurazioek prozesuen kontrol sare bat babesten lagun dezakete saretik kanpora sortzen diren erasoetatik.
Praktika horietako batzuk honakoak dira:

  • Panel Builder 800en erabiltzaileen zibersegurtasunarekiko kontzientziazioa areagotzea:
    • Kontrol industrialeko sistemetarako zibersegurtasun praktika onenen aholku orokorrak azalduz.
    • Panel Builder malwarearekin infektatzea posible dela informatuz.
    • Ustekabean edota jatorri ezezagunetik jasotzen diren fitxategiekin kontuz ibiltzearen garrantzia azalduz.
  • Transferitutako fitxategiak arretaz ikuskatu, birusen kontrako software eguneratu batekin eskaneatzea barne, horrela soilik legitimoak diren fitxategiak transferitu daitezen.
  • Erabiltzaileen kontuak kudeatzea autentifikazio egokia erabiliz eta baimenak kudeatzea pribilegio minimoaren printzipioa erabiliz.

Xehetasuna:

Erasotzaile batek ohartarazpen honetan azaldutako ahultasuna balia lezake, erabiltzaile bat engainatuz bereziki diseinatutako fitxategi bat ireki dezan. Horrela, erasotzaileak kode arbitrarioa sartzea edo exekutatzea lor lezake. Kontuan izan behar da ahultasun hau ezin dela urrunetik baliatu eta ezta erabiltzailearen interakziorik gabe ere.

Etiketak: Ahultasuna