Ernstige kwetsbaarheid ontdekt in Schneider Electric’s Unity PRO software

  1. 26 okt 2016
  2. 0 reacties

Een ernstige kwetsbaarheid is ontdekt in Schneider Electric’s beheer- en programmeersoftware voor industriële controllers Unity PRO. De software maakt het mogelijk op afstand code uit te voeren op systemen en de werking van deze systemen te manipuleren.

Het probleem is ontdekt door Indegy. Het beveiligingsbedrijf heeft het probleem gemeld bij Schneider Electric, dat het lek inmiddels heeft gedicht en hiervoor waarschuwt (pdf). Het probleem is breed verspreid, aangezien Schneider Electric één van de grootste leverancier van industriële beheerapparatuur wereldwijd is. Indegy stelt dat ieder industrieel beheernetwerk dat gebruik maakt van Schneider Electric controllers gebruikt maakt van Unity PRO.

Het probleem zit in de wijze waarop Unity PRO omgaat met x86 instructies. Gebruikers kunnen Unity projecten compileren als x86 instructies en deze in de PLC simulator van Unity PRO laden. Deze instructies worden vervolgens direct uitgevoerd door de simulator. De kwetsbaarheid maakt het mogelijk deze x86-instructies te prepareren om malafide code uit te voeren door de beheerstroom van instructies te manipuleren. Alle versies van Unity PRO voor V11.1 zijn kwetsbaar voor het probleem.

Meer over
Lees ook
'Energiesector is een populair doelwit van hackers'

'Energiesector is een populair doelwit van hackers'

Dat hackers zich zeker niet alleen bezig houden met het aanvallen van websites is al langer duidelijk. Allerlei sectoren zijn geliefde doelwitten voor cybercriminelen. Een voorbeeld hiervan is de energiesector. 7,6 procent van alle gerichte cyberaanvallen was in de eerste helft van 2013 op deze sector gericht. Dit meldt beveiligingsbedrijf Symante1

Rotterdamse haven vraagt ethische hackers kwetsbaarheden te melden

Rotterdamse haven vraagt ethische hackers kwetsbaarheden te melden

Het Havenbedrijf Rotterdam lanceert een responsible disclosure-programma. Ethische hackers die zwakheden in havensystemen ontdekken kunnen de kwetsbaarheden via het programma melden aan het havenbedrijf. "Bij Havenbedrijf Rotterdam N.V. vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze syste1

'Behoefte aan security professionals is hard gestegen'

'Behoefte aan security professionals is hard gestegen'

Bedrijven hebben afgelopen jaar aanzienlijk meer behoefte gehad aan security professionals dan vorig jaar. De hoeveelheid vacatures voor security experts nam met maar liefst ruim 40 procent toe. Dit blijkt uit cijfers van detacheringsbureau Yacht. Het aantal beschikbare vacatures voor beveiligingsprofessionals kwam in het jaar 2012 uit op 698. Di1