В EcoStruxure-продуктах Schneider Electric найдены шесть багов 0-day

Татьяна Никитина 01 Декабря 2020 - 17:20

Уязвимость нулевого дня

...

В EcoStruxure-продуктах Schneider Electric найдены шесть багов 0-day

В продуктах семейства EcoStruxure Building Operation (EBO) производства Schneider Electric за полгода были выявлены шесть уязвимостей нулевого дня. Патчи для них уже вышли, а подробная информация стала доступной только на днях.

Набор инструментов EcoStruxure Building Operation (ранее StruxureWare Building Operation) предназначен для мониторинга, контроля и управления функциями жизнеобеспечения умных зданий — такими как энергоснабжение, освещение, пожарная безопасность, отопление, вентиляция и кондиционирование.

Не известные ранее бреши обнаружили исследователи из компании TIM (Telecom Italia), лидера итальянского рынка телекоммуникаций. Отчеты о находках были своевременно направлены разработчику, и тот решал проблемы по мере поступления информации в период с апреля по ноябрь.

Уязвимости, найденные в EBO, характеризуются следующим образом:

CVE-2020-7569 — неограниченная загрузка файлов опасного типа; позволяет выполнить вредоносный код; 8,8 балла по CVSS;
CVE-2020-7572 — некорректное ограничение ссылок на внешние сущности XML; грозит раскрытием конфиденциальной информации через инъекцию XML-кода (атаку XXE); 8,8 балла;
CVE-2020-28209 — путь поиска файлов на Windows не заключен в кавычки; при определенных условиях позволяет повысить привилегии в системе; 7 баллов;
CVE-2020-7570 — хранимая XSS; грозит внедрением стороннего скрипта или кода HTML в веб-страницу; 5,4 балла;
CVE-2020-7571 — отраженная XSS; грозит инъекцией вредоносного кода; 5,4 балла;
CVE-2020-7573 — неадекватный контроль доступа; позволяет добраться до веб-ресурсов ограниченного пользования; 6,5 балла.

Краткие описания уязвимостей 0-day в EcoStruxure-продуктах приведены на сайте спецподразделения TIM и в профильном бюллетене Schneider Electric (PDF).

При отсутствии возможности установить патч в обозримом будущем разработчик рекомендует принять меры защиты, позволяющие снизить риск эксплойта:

Запретить доступ к серверу EBO из недоверенных сетей.
Поместить EBO-систему за экраном в изолированной сети и разрешить внешний доступ только на определенных портах и к конкретным машинам.
Протестировать и развернуть систему белых списков для приложений на серверных машинах.

Следующая главная новость »

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 21 Мая 2026 - 16:34

Общее

20 трлн руб. на руках: россияне снова переходят на кеш, банки напряглись

Российский бизнес и потребители стали возвращаться к наличным расчётам. Сбер уже бьёт тревогу: финансовая система за последние годы привыкла к безналичной белой экономике, а теперь часть оборота снова уходит в кеш. Банк России фиксирует тот же тренд.

К концу апреля объём наличных на руках вырос до 20 трлн рублей, что на 700 млрд рублей больше, чем в марте. В первой половине мая через кассы и банкоматы в экономику поступило ещё 330 млрд рублей.

Сильнее всего наличные возвращаются в продуктовый ретейл, мебельный бизнес, строительство, гостиницы и автотовары. По данным «Платформы ОФД», в первом квартале доля кеша в этих сегментах превысила 35%.

Причин несколько. Первая — отключения мобильного интернета; если связь нестабильна, карта и приложение банка внезапно превращаются в красивую, но бесполезную картинку. Вторая — опасения из-за возможного усиления налогового контроля за переводами. Люди услышали про интерес ФНС к этой теме и решили, что лучше бумажные деньги в руках, чем лишние следы в цифре.

Но у налички есть неприятный побочный эффект. Чем больше кеша в обороте, тем проще появляются схемы вроде «скидка без чека», оплаты мимо кассы, дробления платежей и фиктивных возвратов. То есть вместе с купюрами возвращается и старая добрая серая зона.

Бизнесу тоже не всегда удобно. Наличные надо хранить, пересчитывать, инкассировать, а это дополнительные расходы и риски. В гостиничном и ресторанном сегменте рост уже заметен: например, владельцы отелей говорят, что гости чаще платят наличными в ресторанах, где суммы ниже, чем за проживание.

Аналитики допускают, что до конца 2026 года доля наличных расчётов может удержаться на уровне 28-31%. Активнее всего кеш будут использовать малый и средний бизнес, а также обычные потребители.

Сбои, инциденты, простои: как мониторить ИТ в 2026?
Регистрируйтесь на эфир!