Schneider Electric EcoStruxure IT Adatközpont Szakértő
Megosztás
Összefoglalót olvas. A teljes tartalom itt érhető el: cisa.gov.
A CSAF összefa Schneider Electric tudatában van a sebezhetőségnek az EcoStruxure™ IT Data Center Expert termékében. Az EcoStruxure™ IT Data Center Expert egy skálázható monitoring szoftver, amely gyűjti, rendszerezi és közzéteszi a kritikus eszközinformációkat, átfogó képet biztosítva a berendezésekről. Az alább megadott javítási ajánlás alkalmazásának elmulasztása információs megjelenéshez vezethet. A Schneider Electric EcoStruxure IT Data Center Expert következő verzióit érinti: EcoStruxure IT Data Center Expert verzió: intdot/<=9.1.1, 9.1.2 (CVE-2026-8045) CVSS Gyártó Berendezés Sebezhetőségek v3 6,5 Schneider Electric Schneider Electric EcoStruxure IT Data Center Expert XML Külső Entitás Referencia Helytelen Korlátozása Háttér Kritikus Infrastruktúra Ágazatok: Információs Technológia, Kritikus Gyártás, Energia Országok/területek: Világszerte A vállalat székhelye: Franciaország Sebezhetőségek Terjesztése Minden + CVE-2026-8045 CWE-611: A XML Külső Entitás Referencia Helytelen Korlátozása sebezhetőség létezik, amely információs kiszivárgást okozhat a szerver oldali fájl tartalmáról, amikor egy támadó Data Center Expert felhasználói fiókkal, elkészített XML payloadokat nyújt be a SOAP szolgáltatás végpontjaira. Affected Products Schneider Electric EcoStruxure IT Data Center Expert Gyártó: Schneider Electric Termék verzió: EcoStruxure IT Data Center Expert (korábban StruxureWare Data Center Expert néven) verzió 9.1.1 és korábbi Termék státusz: javítva, ismert érintettek Javítások A Schneider Electric EcoStruxure™ IT Data Center Expert v9.1.2 javítása tartalmazza ennek a sebezhetőségnek a helyreállítását, és itt érhető el a letöltése: https://www.se.com/en/product-range/61851-ecostruxure-it-data-center-expert/#software-and-firmware https://www.se.com/ww/en/product-country-selector/?pageType=product-range&sourceId=61851#software-and-firmware Kapcsolódó CWE: CWE-611 XML Külső Entitás Referencia Helytelen Korlátozása Méretek CVSS Verzió Alap Pontszám Alap Hatás Számsor 3.1 6.5 KÖZEPES CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N Elismerések Schneider Electric CPCERT ezt a sebezhetőséget jelentette a CISA-nak. Vincent Michel (@darkpills) a Formind Cégből jelentette ezt a sebezhetőséget a Schneider Electricnek. Általános Biztonsági Ajánlások Erősen ajánljuk a következő ipari kiberbiztonsági legjobb gyakorlatokat: * Helyezze a vezérlő és biztonsági rendszer hálózatokat és távoli eszközöket tűzfalak mögé, és izolálja őket az üzleti hálózattól. * Telepítsen fizikai kontrollokat, hogy a jogosulatlan személyek ne férhessenek hozzá ipari vezérlő és biztonsági rendszereihez, komponenseihez, perifériás berendezéseihez és hálózataihoz. * Minden vezérlőt zárt szekrényekben helyezzen el és soha ne hagyja őket „Program” módban. * Soha ne csatlakoztasson programozó szoftvert más hálózathoz, mint amely a berendezés számára készült. * Minden mobil adatcsere módszert, mint például CD-k, USB meghajtók, stb. vizsgáljon át, mielőtt felhasználja ezeket az terminálokon vagy bármely olyan csomóponton, amely csatlakozik ezekhez a hálózatokhoz. * Soha ne engedje, hogy a mobil eszközök, amelyek bármely más hálózathoz csatlakoztak az előírt hálózaton kívül, csatlakozzanak a biztonsági vagy vezérlő hálózatokhoz, megfelelő tisztítás nélkül. * Minimalizálja a hálózati kitettséget minden vezérlőrendszer eszköz és rendszer számára, és biztosítsa, hogy ezek ne legyenek elérhetők az Internetről. * Amikor távoli hozzáférés szükséges, használjon biztonságos módszereket, például Virtuális Magánhálózatokat (VPN). Ismerje fel, hogy a VPN-ek sebezhetőséggel rendelkezhetnek, és a legfrissebb verzióra kell frissíteni őket. Továbbá, meg kell értenie, hogy a VPN-ek csak annyira biztonságosak, mint a csatlakoztatott eszközök. További információért kérjük, nézze meg a Schneider Electric [Ajánlott Kiberbiztonsági Legjobb Gyakorlatok](https://www.se.com/us/en/download/document/7EN52-0390/) dokumentumot. További információ Ez a dokumentum áttekintést nyújt az azonosított sebezhetőségről vagy sebezhetőségekről és az azok csökkentéséhez szükséges intézkedésekről. További részletekért és segítségért, hogyan védheti meg telepítését, kérjük, lépjen kapcsolatba a helyi Schneider Electric képviselőjével vagy a Schneider Electric Ipari Kiberbiztonsági Szolgáltatásaival: https://www.se.com/ww/en/work/solutions/cybersecurity/. Ezek a szervezetek teljes mértékben tisztában lesznek ezzel a helyzettel, és támogathatják Önt a folyamat során. További információkért a Schneider Electric termékek kiberbiztonságával kapcsolatban, látogasson el a cég kiberbiztonsági támogatási portáljára: https://www.se.com/ww/en/work/support/cybersecurity/overview.jsp JOGI NYILATKOZAT EZ A MEGJELENÍTÉS DOKUMENTUM, A BENNE TALÁLHATÓ INFORMÁCIÓK ÉS BÁRMILYEN ANYAG, AMELYHOZ EZ KAPCSOLÓDIK (EGYÜTT "EZ A MEGJELENÍTÉS") AZÉRT KÉSZÜLT, HOGY ÁTTEKINTÉST NYÚJTSON AZ AZONOSÍTOTT HELYZETRŐL ÉS AZ AJÁNLOTT CSÖKKENTÉSI INTÉZKEDÉSEKRŐL, JAVÍTÁSOKRÓL ÉS/VAGY ÁLTALÁNOS BIZTONSÁGI AJÁNLÁSOKRÓL, ÉS "AS-IS" ALAPJÁN BIZTOSÍTJÁK, GARANCIA VAGY BIZTOSÍTÉK NÉLKÜL. A SCHNEIDER ELECTRIC MINDEN GARANCIÁT ELUTASÍT, AMELY EZT A MEGJELENÍTÉST ILLETI, LEGALÁBB A KIFEJEZETT VAGY VÉLETLEN KERESKEDHETŐSÉGI GARANCIÁKAT VAGY A MEGHATÁROZOTT CÉLRA VALÓ GARANCIÁKAT IS BELEFÉRVE. A SCHNEIDER ELECTRIC NEM GARANTÁLJA, HOGY A MEGJELENÍTÉS MEGOLDJA AZ AZONOSÍTOTT HELYZETET. SEMMILYEN KÖRÜLMÉNYEK KÖZÖTT A SCHNEIDER ELECTRIC NEM FELELŐS SEMMILYEN KÁRÉRT VAGY ELVESZETT HASZONÉRT A MEGJELENÍTÉSSEL KAPCSOLATBAN, IDEÉRTVE A KÖZVETLEN, KÖZVETETT, JÁRULÉKOS, KÖVETKEZMÉNYES, ÜZLETI NYERESÉG VAGY KÜLÖNLEGES KÁROKNAK, MÉG HA A SCHNEIDER ELECTRIC TUDOMÁSSAL BÍRT AZ ILYEN KÁROK LEHETSÉGÉRŐL. AZ EZT A MEGJELENÍTÉST ÖN A SAJÁT KOCKÁZATÁRA HASZNÁLJA, ÉS ÖN KIZÁRÓLAGOSAN FELELŐS MINDEN KÁRÉRT AZ ÖN RENDSZEREIBEN VAGY ESZKÖZEIBEN, VAGY BÁRMILYEN EGYÉB ELVESZETT HAZANAK EREDMÉNYEKÉRT, AMELYEK EBBŐL A MEGJELENÍTÉS MELLÉKELÉSÉBŐL SZÜLETNEK. A SCHNEIDER ELECTRIC JOGOSULT A JELEN MEGJELENÍTÉS FRISSÍTÉSÉRE VAGY MEGVÁLTOZTATÁSÁRA BÁRMELY IDŐ PONTBAN, ELSŐDLEGES DISZKRÉCIÓJA SZERINT. A Schneider Electricről A Schneider célja, hogy hatással legyen, felhatalmazva mindenkit, hogy a lehető legjobban kihasználja energiát és erőforrásokat, hidat képezve a fejlődés és fenntarthatóság között mindenki számára. Ezt nevezzük Élet a Folyamatban. Küldetésünk, hogy a fenntarthatóság és a hatékonyság megbízható partnerei legyünk. Mi vagyunk a globális ipari technológiai vezető, aki világvezető szakértelmet hoz az elektromosítás, automatizálás és digitalizálás területén, okos iparágak, ellenálló infrastruktúrák, jövőálló adatközpontok, intelligens épületek és intuitív otthonok számára. Mély szakterületünk révén integrált, végponttól végpontig terjedő életciklus AI-alapú ipari IoT megoldásokat kínálunk összekapcsolt termékekkel, automatizálással, szoftverrel és szolgáltatásokkal, digitális ikertestvérét biztosítva ügyfeleink nyereséges növekedésének elősegítésére. Olyan emberekből álló cég vagyunk, amelynek ökoszisztémája 150 000 munkatársból és több mint egymillió partnerből áll, több mint 100 országban, hogy biztosítsa a közelséget ügyfeleinkhez és érdekelt feleikhez. Mindenben elfogadjuk a sokféleséget és a befogadást, értelmes célunkra vezetve, amely a fenntartható jövő mindenkinek. www.se.com Jogi Nyilatkozat és Használati Feltételek Ez a termék a jelen Megjelenítési értesítés (https://www.cisa.gov/notification) és ez a adatvédelmi és használati politika (https://www.cisa.gov/privacy-policy) alapján került biztosításra. Ajánlott Gyakorlatok A CISA azt ajánlja, hogy a felhasználók védelmi intézkedéseket tegyenek a sebezhetőségek kihasználási kockázatának minimalizálása érdekében. Minimalizálják a hálózati kitettséget minden vezérlőrendszeri eszköznél és/vagy rendszer esetén, és biztosítsák, hogy ezek ne legyenek elérhetők az internetről. Helyezze el a vezérlőrendszer hálózatokat és a távoli eszközöket tűzfal mögé, és izolálja azokat az üzleti hálózatoktól. Amikor távoli hozzáférés szükséges, használjon biztonságosabb módszereket, például Virtuális Magánhálózatokat (VPN), felismerve, hogy a VPN-ek sebezhetőséggel rendelkezhetnek, és a legfrissebb verzióra kell frissíteni őket. Ugyancsak felismerni kell, hogy a VPN csak olyan biztonságos, mint az összekapcsolt eszközök. A CISA emlékezteti a szervezeteket, hogy végezzenek helyes hatásvizsgálatot és kockázatelemzést, mielőtt védelmi intézkedéseket hajtanának végre. A CISA egy szakaszt is biztosít a vezérlőrendszeri biztonsággal kapcsolatos ajánlott gyakorlatok számára a cisa.gov ICS weboldalán. Számos CISA termék, amely a kiber védelem legjobb gyakorlatait részletezi, elérhető olvasásra és letöltésre, beleértve az Ipari Vezérlőrendszerek Kiberbiztonságának Fejlesztése Mélységi Védelem Stratégiáival. A CISA arra ösztönzi a szervezeteket, hogy valósítsák meg a javasolt kiberbiztonsági stratégiákat az ICS eszközök proaktív védelme érdekében. További csökkentési iránymutatások és ajánlott gyakorlatok nyilvánosan elérhetők az ICS weboldalon a cisa.gov technikai információs dokumentumában, ICS-TIP-12-146-01B - Célzott Kiber Betörő Észlelési és Csökkentési Stratégiák. A gyanított rosszindulatú tevékenységet észlelő szervezeteknek be kell tartaniuk a megállapított belső eljárásokat, és be kell jelenteniük a CISA-nak, hogy nyomonkövethessék és összehasonlíthassák más eseményekkel. Tanácsadó Átalakítási Nyilatkozat Ez az ICSA a Schneider Electric CPCERT SEVD-2026-160-01 közvetlen átalakítása a gyártó közös biztonsági tanácsadó keretéből (CSAF). Ezt az anyagot CISA weboldalán újraközlik a láthatóság növelése érdekében, és csak információs célból biztosítják "as-is" alapon. A CISA nem felelős a megjelenített információk szerkesztési vagy technikai helyességéért, és semmiféle garanciát nem vállal a hirdetett tanácsokkal kapcsolatosan. Ezenkívül a CISA nem támogatja egyik kereskedelmi terméket vagy szolgáltatást sem. Kérjük, lépjen kapcsolatba közvetlenül a Schneider Electric CPCERT-tel, ha kérdése van az ilyen hirdetésekkel kapcsolatban. Revideált Történet Kezdeti Megjelenítés Dátuma: 2026-06-09 Dátum Revideált Összegzés 2026-06-09 1 Eredeti Megjelenítés 2026-06-30 2 A Schneider Electric CPCERT SEVD-2026-160-01 hirdetmény kezdeti CISA újraközlése
Külső link: cisa.gov
Kapcsolódó cikkek
cybersecurity
A JadePuffer zsarolóvírus mesterséges intelligencia ügynököt használt az egész támadás automatizálására.
cybersecurity
Az Egyesült Államok kormánya 1 millió dollárt fizetett a Kairosnak adatlopási zsarolási ügyben.
cybersecurity
