Zero-day lek ontdekt in kritieke infrastructuursoftware van Schneider Electric

De InduSoft Web Studio en InTouch Machine Edition software van Schneider Electric blijkt een beveiligingsprobleem te bevatten waarmee aanvallers op afstand code kunnen uitvoeren op systemen. Kwaadwillenden kunnen hierdoor de controle overnemen over onderliggende kritieke infrastructuursystemen.

Het beveiligingsprobleem is ontdekt door onderzoekers van beveiligingsbedrijf Tenable Security. InduSoft Web Studio en InTouch Machine Edition zijn applicaties die in kritieke sectoren zoals de olie- en gasindustrie veel worden gebruikt. InduSoft is een human-machine interface (HMI) SCADA softwareplatform, dat tools bevat voor het ontwikkelen van HMI, SCADA en OEE interfaces. InTouch Machine Edition stelt OEM'ers en eindgebruikers in staat veilige HMI applicaties te ontwikkelen voor intelligente machines en systemen die gebruik maken van embedded besturingssystemen. 

Buffer overflow

Beide applicaties blijken een buffer overflow kwetsbaarheid te bevatten. Aanvallers kunnen met behulp van dit lek een denial of service aanval opzetten of op afstand code uitvoeren op getroffen systemen. Indien aanvallers het beveiligingsprobleem uitbuiten, stelt dit hen in staat toegang te verkrijgen tot het netwerk waarmee getroffen systemen zijn gebonden. Ook andere systemen kunnen hierdoor worden aangevallen. In het ergste geval kunnen aanvallers hierdoor de werking van een faciliteit ernstig verstoren, waarschuwen de onderzoekers.

Schneider Electric heeft de kwetsbaarheid in beide applicaties gedicht met behulp van een kwetsbaarheid. Meer informatie over deze updates is te vinden in een security bulletin van het bedrijf.