کمیته رکن چهارم – شرکت اشنایدر الکترونیک هفتهی گذشته به مشتریان خود اطلاع داد که در آخرین نسخهی نرمافزار U.motion Builder، ۱۶ آسیبپذیری از جمله مواردی که حیاتی و با شدت بالا هستند، وصله میشوند.
U.motion یک نرمافزار اتوماسیون اداری است که در سراسر جهان در تسهیلات تجاری، بخشهای مهم تولیدی و انرژی مورد استفاده قرار میگیرد. U.motion Builder ابزاری است که به کاربران اجازه میدهد تا برای دستگاههای U.motion خود، پروژههایی را ایجاد کنند.
پژوهشگران دریافتند که نرمافزار Builder تحت تاثیر ۱۶ آسیبپذیری، از جمله آسیبپذیریهای پیمایش مسیر، افشای اطلاعات و اجرای کد از راه دور از طریق تزریق SQL قرار گرفته است.
اکثر این حفرههای امنیتی با شدت متوسط طبقهبندی شدهاند، اما برخی از آنها براساس نمرهی CVSS خود، جدیتر هستند.
مخربترین آسیبپذیری که نمرهی ۱۰ را دریافت کرده است، در واقع بستهی نرمافزاری Samba را تحت تاثیر قرار میدهد. این آسیبپذیری، اجرای کد از راه دور را ممکن ساخته و بهدلیل شباهت آن به حملهی باجافزار گریه، توسط برخی از اعضای صنعت «SambaCry» نامگذاری شده است. این اشکال که با شناسهی CVE-۲۰۱۷-۷۴۹۴ ردیابی میشود، دستگاههای برخی از فروشندگان عمده از جمله سیسکو، Netgear، QNAP، Synology، Veritas، Sophos و F۵ Networks را تحت تاثیر قرار میدهد.
یکی دیگر از آسیبپذیریهای جدی در نرمافزار U.motion Builder که با شناسهی CVE-۲۰۱۸-۷۷۷۷ ردیابی میشود، به مهاجم اجازه میدهد تا با ارسال درخواستهای جعلی به کارگزار هدف، کدهای دلخواه را از راه دور اجرا کند. همچنین یکی دیگر از آسیبپذیریهای تزریق SQL دارای شناسهی CVE-۲۰۱۸-۷۷۶۵، با «شدت بالا» طبقهبندی شده است.
این اشکالها، نسخههای قبل از نسخهی ۱.۳.۴ نرمافزار U.motion Builder که توسط این شرکت اوایل ماه فوریه منتشر شد، را تحت تاثیر قرار میدهند. این شرکت علاوه بر ارائهی وصلهها، توصیههایی را نیز برای کاهش حملات احتمالی به اشتراک گذاشته است.
منبع : news.asis.io
