Schneider Electric

Schneider Electric beretter nu, at der er kommet en opdatering til firmaets EcoStruxure Machine Expert (tidligere SoMachine Basic). Den lukker for en alvorlig sårbarged i det værktøj, der anvendes til programmering af Schneiders Modicon M221 PLC (Programmable Logic Controller).

Sårbarheden (CVE-2018-7783) medfører en potentiel risiko for afvikling af eksterne kode på sårbare systemer. Det kan give adgang til følsom information som eksempelvis password, brugerdata eller detaljer om systemet.

Flere af sårbarhederne er alvorlige. Angribere kan udnytte dem til at afvikle kommandoer på det sårbare system.

Zero Day Initiative kontaktede Schneider Electric om en stribe sårbarheder i U.motion Builder i foråret 2016. Kontakten gik gennem ICS-CERT (Industrial Control Systems Cyber Emergency Response Team).

I august 2016 oplyste ICS-CERT, at producenten havde brug for mere tid til at lukke hullerne. Normalt offentliggør Zero Day Initiative sårbarheder 120 dage efter, at de har gjort producenten opmærksom på dem.