В EcoStruxure-продуктах Schneider Electric найдены шесть багов 0-day

Татьяна Никитина 01 Декабря 2020 - 17:20

Уязвимость нулевого дня

...

В EcoStruxure-продуктах Schneider Electric найдены шесть багов 0-day

В продуктах семейства EcoStruxure Building Operation (EBO) производства Schneider Electric за полгода были выявлены шесть уязвимостей нулевого дня. Патчи для них уже вышли, а подробная информация стала доступной только на днях.

Набор инструментов EcoStruxure Building Operation (ранее StruxureWare Building Operation) предназначен для мониторинга, контроля и управления функциями жизнеобеспечения умных зданий — такими как энергоснабжение, освещение, пожарная безопасность, отопление, вентиляция и кондиционирование.

Не известные ранее бреши обнаружили исследователи из компании TIM (Telecom Italia), лидера итальянского рынка телекоммуникаций. Отчеты о находках были своевременно направлены разработчику, и тот решал проблемы по мере поступления информации в период с апреля по ноябрь.

Уязвимости, найденные в EBO, характеризуются следующим образом:

CVE-2020-7569 — неограниченная загрузка файлов опасного типа; позволяет выполнить вредоносный код; 8,8 балла по CVSS;
CVE-2020-7572 — некорректное ограничение ссылок на внешние сущности XML; грозит раскрытием конфиденциальной информации через инъекцию XML-кода (атаку XXE); 8,8 балла;
CVE-2020-28209 — путь поиска файлов на Windows не заключен в кавычки; при определенных условиях позволяет повысить привилегии в системе; 7 баллов;
CVE-2020-7570 — хранимая XSS; грозит внедрением стороннего скрипта или кода HTML в веб-страницу; 5,4 балла;
CVE-2020-7571 — отраженная XSS; грозит инъекцией вредоносного кода; 5,4 балла;
CVE-2020-7573 — неадекватный контроль доступа; позволяет добраться до веб-ресурсов ограниченного пользования; 6,5 балла.

Краткие описания уязвимостей 0-day в EcoStruxure-продуктах приведены на сайте спецподразделения TIM и в профильном бюллетене Schneider Electric (PDF).

При отсутствии возможности установить патч в обозримом будущем разработчик рекомендует принять меры защиты, позволяющие снизить риск эксплойта:

Запретить доступ к серверу EBO из недоверенных сетей.
Поместить EBO-систему за экраном в изолированной сети и разрешить внешний доступ только на определенных портах и к конкретным машинам.
Протестировать и развернуть систему белых списков для приложений на серверных машинах.

Следующая главная новость »

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!

Екатерина Быстрова 26 Марта 2026 - 11:57

Кибервойны Целевые атаки Таргетированные атаки Государство

Кибер Серп заявил о взломе ключевой системы шифрования Украины

Пророссийская группировка «Кибер Серп» заявила о взломе инфраструктуры, связанной с шифрованием и цифровыми подписями в украинском госсекторе. По этой версии, атакующим удалось получить доступ к закрытым шифрам, исходным кодам и ключам, которые используются для межведомственного электронного документооборота.

Об этом сообщило РИА Новости со ссылкой на источник в группе. Если информация подтвердится, история действительно выглядит громко.

Источник агентства назвал атаку «взломом цифрового сердца Украины», утверждая, что скомпрометированная инфраструктура компании «Сайфер» использовалась для защищённого доступа госструктур, банков, поставщиков, а также для работы с базами госзакупок и электронных госуслуг. При этом независимого публичного подтверждения масштаба именно такого компрометирования на данный момент не видно.

Сама компания Cipher действительно работает на украинском рынке информационной безопасности и банковских технологий с 1995 года и позиционирует свои решения как используемые в банках, государственных и частных организациях.

Но на доступных страницах её сайта сейчас нет найденного мной публичного сообщения, которое бы прямо подтверждало именно такой масштабный взлом.

На этом фоне новость стоит воспринимать с осторожностью. Заявление о компрометации ключевой криптографической инфраструктуры — это уже не просто «ещё один взлом сайта», а история с потенциально очень серьёзными последствиями для электронного документооборота и доверенной цифровой среды.

Но без технических деталей, независимой проверки и официальных подтверждений со стороны профильных украинских структур такие утверждения пока остаются именно заявлением о кибератаке, а не окончательно установленным фактом.

DDoS 2026: атаки меняются — готова ли ваша защита?
Регистрируйтесь на эфир!