Af Torben B. Sørensen, 15/06/17
Flere af sårbarhederne er alvorlige. Angribere kan udnytte dem til at afvikle kommandoer på det sårbare system.
Zero Day Initiative kontaktede Schneider Electric om en stribe sårbarheder i U.motion Builder i foråret 2016. Kontakten gik gennem ICS-CERT (Industrial Control Systems Cyber Emergency Response Team).
I august 2016 oplyste ICS-CERT, at producenten havde brug for mere tid til at lukke hullerne. Normalt offentliggør Zero Day Initiative sårbarheder 120 dage efter, at de har gjort producenten opmærksom på dem.
Siden september har Zero Day Initiative ikke hørt fra ICS-CERT eller Schneider Electric. Nu har de offentliggjort oplysninger om ti sårbarheder i U.motion Builder.
Anbefaling
Isoler systemer med U.motion Builder, indtil en rettelse er klar.