Schneider Electric исправила уязвимость в системе управления зданиями

Независимый ИБ-исследователь Артем Курбатов обнаружил уязвимость в системе управления зданиями от компании Schneider Electric. Проблема заключалась в том, что учетные данные передавались между пользователем и сервером в виде обычного текста.

Брешь CVE-2015-3962 была выявлена в Struxureware Building Expert до версии 2.15. Данная система отвечает за контроль вентиляцией, освещением, измерительных систем и пр. в зданиях. Разработчики компании уже выпустили обновление, исправляющее уязвимость.

Согласно данным Команды экстренного реагирования на киберугрозы промышленных систем управления, брешь не была проэксплуатирована злоумышленниками. Однако издание The Register отмечает, что если хакерам удалось получить учетные записи и использовать действительный ID администратора, то обнаружить факт кибератаки крайне сложно.