Ernstige kwetsbaarheid ontdekt in Schneider Electric’s Unity PRO software

Een ernstige kwetsbaarheid is ontdekt in Schneider Electric’s beheer- en programmeersoftware voor industriële controllers Unity PRO. De software maakt het mogelijk op afstand code uit te voeren op systemen en de werking van deze systemen te manipuleren.

Het probleem is ontdekt door Indegy. Het beveiligingsbedrijf heeft het probleem gemeld bij Schneider Electric, dat het lek inmiddels heeft gedicht en hiervoor waarschuwt (pdf). Het probleem is breed verspreid, aangezien Schneider Electric één van de grootste leverancier van industriële beheerapparatuur wereldwijd is. Indegy stelt dat ieder industrieel beheernetwerk dat gebruik maakt van Schneider Electric controllers gebruikt maakt van Unity PRO.

Het probleem zit in de wijze waarop Unity PRO omgaat met x86 instructies. Gebruikers kunnen Unity projecten compileren als x86 instructies en deze in de PLC simulator van Unity PRO laden. Deze instructies worden vervolgens direct uitgevoerd door de simulator. De kwetsbaarheid maakt het mogelijk deze x86-instructies te prepareren om malafide code uit te voeren door de beheerstroom van instructies te manipuleren. Alle versies van Unity PRO voor V11.1 zijn kwetsbaar voor het probleem.