В VAMPSET от Schneider Electric обнаружена уязвимость, позволяющая выполнение произвольного кода

image

Теги: уязвимость, очтет

Брешь позволяет локальному злоумышленники спровоцировать переполнение буфера или динамической памяти.

Как сообщают исследователи безопасности из ICS-CERT, в программном обеспечении VAMPSET от компании Schneider Electric была обнаружена критическая уязвимость ( CVE-2014-8390 ), позволяющая выполнить произвольный код на атакуемой системе.

Обнаружить брешь удалось эксперту Core Security Рикардо Нарвайе (Ricardo Narvaja). По его данным, речь идет о переполнении буфера, спровоцировать которое может пользователь с локальным доступом. При этом уязвимость затрагивает как текущую (2.2.145), так и более ранние версии VAMPSET.

«Инструмент уязвим к атакам переполнения буфера, а также переполнения динамической памяти, которые могут быть применены злоумышленниками для выполнению произвольного кода», - подчеркивают исследователи.

Интересно также, что VAMPSET используется для настройки параметров и конфигурации всех продуктов Schneider Electric из линейки «protection relay». Эти инструменты, в свою очередь, используются крупными промышленными предприятиями. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.