Pro-face GP-Pro EX 프로그래밍 소프트웨어

NoteCyber Security

2020년 7월

개요

슈나이더일렉트릭은 Pro-face GP-Pro EX 프로그래밍 소프트웨어 제품의 취약점을 알고 있습니다.

영향받는 제품

GP-Pro EX V1.00 to V4.09.100

취약점 세부 정보

CVE ID: CVE-2020-7492

CVSS v3.0 기본 점수 5.5 | 중간 | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N A CWE-521: 보안수준이 낮은 암호 요구 사항 취약점으로 인해 사용자가 비밀번호를 입력하지 않았을 때, 사용자가 입력하는 비밀번호입니다.

복구

이 취약점은 GP-Pro EX V4.09.120 버전에서 수정되었으며 아래링크에서 다운로드 할 수 있습니다:
https://www.proface.com/en/node/47334

제품 정보

Pro-face GP-Pro EX 프로그래밍 소프트웨어는 전용 및 개방형 HMI (PC 기반) 솔루션을 지원하는 HMI 개발 소프트웨어입니다.

제품 카테고리 - 모든 카테고리

Pro-Face 제품 범주에 대한 자세한 내용은 여기를 참조하십시오 :
https://www.se.com/us/en/all-products

영향을 받는지 확인하는 방법:
GP-Pro EX 소프트웨어의 모든 사용자.

일반적인 보안 권장 사항

다음과 같은 업계 사이버 보안 모범 사례를 따르는 것이 좋습니다 :
  • 제어 및 안전 시스템 네트워크와 원격 장치를 방화벽 뒤에 배치하여 비즈니스 네트워크으로부터 분리합니다.
  • 권한이없는 작업자가 산업용 제어 및 안전 시스템, 구성 요소, 주변 장치, 네트워크에 액세스 할 수 없도록 물리적 제어를 설치합니다.
  • 모든 컨트롤러를 잠긴 캐비닛에 배치하고 절대 "프로그램"모드로 두지 마십시오.
  • 프로그래밍 소프트웨어를 네트워크 이외의 다른 네트워크에 연결하지 마십시오.
  • 터미널 또는이 네트워크에 연결되어있는 노드에서 사용하기 전에, CD, USB 드라이브 등의 분리 된 네트워크와 모든 모바일 데이터 교환방법을 스캔하십시오.
  • 의도 된 네트워크 이외의 다른 네트워크에 연결된 노트북이 적절한 위생관리없이 안전 또는 제어 네트워크에 연결되지 않도록하십시오.
  • 모든 제어 시스템 장치 및 시스템의 네트워크 노출을 최소화하고 그들이 인터넷에서 액세스 할 수 없도록하십시오.
  • 원격 액세스가 필요한 경우 VPN (가상 사설망)과 같은 안전한 방법을 사용하십시오. VPN에 취약점이있을 수 있으며 사용 가능한 최신 버전으로 업데이트해야합니다. 또한 VPN은 연결된 장치만큼 안전합니다.

감사의 말

슈나이더 일렉트릭은 이 취약점에 대한 대응을 식별하고 조정하는 데 도움을 준 다음 연구원을 인정합니다 :

 

상세 내용

이 문서는 식별 된 취약점에 대한 개요와 완화에 필요한 조치를 제공합니다. 설치를 보호하는 방법에 대한 자세한 내용 및 지원에 대해서는 가까운 슈나이더 일렉트릭 담당자 또는 슈나이더 일렉트릭 산업 사이버 보안 서비스에 문의하십시오. 이러한 조직은 이 상황을 완전히 인식하고 프로세스를 통해 귀하를 지원할 수 있습니다.

https://www.se.com/us/en/all-products


법적 면책
이 문서는 특정 된 상황과 권장 된 경감 조치, 수정 또는 일반적인 보안 권장 사항의 개요를 제공하는 것을 목적으로하고 있으며, 어떠한 종류의 보증도없이 "있는 그대로"의 상태로 제공됩니다. 슈나이더 일렉트릭은 상품성 또는 특정 목적에의 적합성에 대한 보증을 포함하여 명시적 또는 묵시적인 모든 보증을 부인합니다. 어떠한 경우에도 슈나이더 일렉트릭은 직접적, 간접적, 우연적, 결과적 손실, 비즈니스 이익 손실 또는 특별 손해를 포함한 모든 손해에 대해 책임을지지 않습니다. 이 통지의 사용, 여기에 포함 된 정보 또는 관련 정보는 고객의 책임입니다. 슈나이더 일렉트릭은 언제라도 단독 재량에 따라 업데이트하거나 변경할 권리를 보유합니다.

슈나이더 일렉트릭 소개

슈나이더는 에너지와 디지털에 대한 접근이 기본적인 인권이라고 생각합니다. 우리는 모든 사람에게 에너지와 자원을 최대한 활용할 수 있도록 힘을 주고 언제 어디서나 누구에게도 Life Is On을 보장합니다.

우리는 효율성과 지속 가능성을 위한 에너지 및 자동화 디지털 솔루션을 제공합니다. 우리는 세계 최고의 에너지 기술, 실시간 자동화, 소프트웨어 및 서비스를 주택, 건물, 데이터 센터, 인프라 및 산업을 위한 통합 솔루션으로 결합합니다.

우리는 의미있는 목적, 포괄적, 힘이 있는 가치관에 열정을 가진 개방적이고 글로벌한 혁신적인 커뮤니티의 무한한 가능성을 실현하기 위해 노력하고 있습니다.

www.se.com
CVE연구원 명
CVE-2020-7492Kirill Kruglov (Kaspersky Lab)