Pro-face 다목적 소프트웨어 BLUE

2020년 6월

개요

슈나이더 일렉트릭은 BLUE의 여러 가지 취약점을 인식하고 있습니다.

영향받는 제품

BLUE 3.1 Service Pack 1 및 이전

취약점 세부 정보

CVE ID: CVE-2020-7493
CVSS v3.0 Base Score 7.7 | High | CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

CWE-89 : SQL 명령 ( 'SQL Injection')에 사용되는 특수 요소의 부적절한 비활성화 취약점이 존재하여, 프로젝트 파일을 열면 악성 코드가 실행될 수 있습니다.

CVE ID: CVE-2020-7494
CVSS v3.0 Base Score 7.7 | High | CVSS:3.0/AV:L/AC:H/PR:N/UI:R/S:C/C:H/I:H/A:H

CWE-22 : 제한된 디렉토리 경로 이름의 부적절한 제한 ( "경로 탐색") 취약점이 존재하여, 프로젝트 파일을 열면 악성 코드가 실행될 수 있습니다.

CVE ID: CVE-2020-7495
CVSS v3.0 Base Score 3.3 | Low | CVSS:3.0/ AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

CWE-22 : zip 파일 추출 중에 제한된 디렉토리 경로 이름의 부적절한 제한 ( "경로 탐색") 취약점이 존재하여, 프로젝트 파일을 열 때 예상 경로 폴더 외부에서 무단 쓰기 액세스가 발생할 수 있습니다.

CVE ID: CVE-2020-7496
CVSS v3.0 Base Score 3.3 | Low | CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

CWE-88 : 인수의 주입 또는 변경 취약점이 존재하여 프로젝트 파일을 열 때 잘못된 쓰기 권한을 일으킬 수 있습니다.

CVE ID: CVE-2020-7497
CVSS v3.0 Base Score 6.3 | Medium | CVSS:3.0/AV:L/AC:H/PR:H/UI:R/S:U/C:H/I:H/A:H

CWE-22 : 제한된 디렉토리 경로 이름의 부적절한 제한 ( "경로 탐색") 취약점이 존재하여, 컴퓨터를 시작할 때 임의의 응용 프로그램이 실행될 수 있습니다.

복구

CVE-2020-7493, CVE-2020-7494, CVE-2020-7495 및 CVE-2020-7496의 경우
이 취약점은 아래에서 다운로드 할 수있는 BLUE 버전 3.1 Service Pack 1A에서 해결되었습니다 :
https://www.proface.com/en/service#/blue
이 수정 프로그램은 SESU (Schneider Electric Software Update)를 통해서도 제공됩니다.

CVE-2020-7497의 경우:
고객은 다음과 같은 대안 및 완화 조치를 적용하여 위험을 줄일 수 있습니다 :

• 신뢰할 수 있는 워크 스테이션에서만 BLUE 소프트웨어를 사용하십시오.
• Windows 관리자 권한으로 BLUE 소프트웨어를 실행하지 마십시오.
• 사이버 보안 모범 사례 (바이러스 백신, 업데이트 된 운영 체제, 강력한 암호 정책, 응용 프로그램 화이트리스트 소프트웨어 등)에 따라 워크 스테이션을 강화하고, 다음 지침을 사용하여 네트워크를 보호하십시오 : https://www.se.com/us/en/download/document/CS-Best-Practices-2019-340/
• 프로젝트 파일을 안전하게 관리하여 정보 유출이나 예기치 않은 데이터의 변경을 방지합니다.
• 신뢰할 수 있는 사용자의 프로젝트 파일 만 허용합니다.
• 프로젝트 파일을 저장할 때 프로젝트 암호를 사용합니다.
• 응용 프로그램의 사용자 암호는 "보안 / 설정 / 복잡한 암호 사용" 섹션에 설명 된 "복합 비밀번호 사용"기능을 사용하여 강력한 암호로 구성해야 합니다.

슈나이더 일렉트릭은 BLUE 제품의 다른 약점을 인식하고 사용자에게 다음 섹션에 설명되어있는 일반적인 보안 권장 사항 이외에 이전 완화 조치를 적용할 것을 강력히 권장합니다.

제품 정보

BLUE 구성 소프트웨어를 사용하면 응용 프로그램의 Pro-face HMI를 생성하고 편집 할 수 있습니다.

제품 카테고리 - 모든 카테고리 슈나이더 일렉트릭의 제품 카테고리에 대한 자세한 내용은 https://www.se.com/us/en/all-products 를 참조하십시오.

영향을 받는지 여부를 확인하는 방법 V3.1SP1A 이전의 BLUE 버전 사용자와 모든 버전의 BLUE 고객은, 정보 메뉴에서 소프트웨어의 버전에 액세스 할 수 있습니다.

감사의 말

슈나이더 일렉트릭은 이 취약점에 대한 대응을 식별하고 조정하는 데 도움을 준 다음 연구원을 인정합니다 :

일반적인 보안 권장 사항

다음과 같은 업계 사이버 보안 모범 사례를 따르는 것이 좋습니다 :

• 제어 및 안전 시스템 네트워크와 원격 장치를 방화벽 뒤에 배치하여 비즈니스 네트워크으로부터 분리합니다.
• 권한이없는 작업자가 산업용 제어 및 안전 시스템, 구성 요소, 주변 장치, 네트워크에 액세스 할 수 없도록 물리적 제어를 설치합니다.
• 모든 컨트롤러를 잠긴 캐비닛에 배치하고 절대 "프로그램"모드로 두지 마십시오.
• 프로그래밍 소프트웨어를 네트워크 이외의 다른 네트워크에 연결하지 마십시오.
• 터미널 또는이 네트워크에 연결되어있는 노드에서 사용하기 전에, CD, USB 드라이브 등의 분리 된 네트워크와 모든 모바일 데이터 교환방법을 스캔하십시오.
• 의도 된 네트워크 이외의 다른 네트워크에 연결된 노트북이 적절한 위생관리없이 안전 또는 제어 네트워크에 연결되지 않도록하십시오.
• 모든 제어 시스템 장치 및 시스템의 네트워크 노출을 최소화하고 그들이 인터넷에서 액세스 할 수 없도록하십시오.
• 원격 액세스가 필요한 경우 VPN (가상 사설망)과 같은 안전한 방법을 사용하십시오. VPN에 취약점이있을 수 있으며 사용 가능한 최신 버전으로 업데이트해야합니다. 또한 VPN은 연결된 장치만큼 안전합니다.

상세 내용

이 문서는 식별 된 취약점에 대한 개요와 완화에 필요한 조치를 제공합니다. 설치를 보호하는 방법에 대한 자세한 내용 및 지원에 대해서는 가까운 슈나이더 일렉트릭 담당자 또는 슈나이더 일렉트릭 산업 사이버 보안 서비스에 문의하십시오. 이러한 조직은 이 상황을 완전히 인식하고 프로세스를 통해 귀하를 지원할 수 있습니다.

https://www.se.com/us/en/all-products

법적 면책
이 문서는 특정 된 상황과 권장 된 경감 조치, 수정 또는 일반적인 보안 권장 사항의 개요를 제공하는 것을 목적으로하고 있으며, 어떠한 종류의 보증도없이 "있는 그대로"의 상태로 제공됩니다. 슈나이더 일렉트릭은 상품성 또는 특정 목적에의 적합성에 대한 보증을 포함하여 명시적 또는 묵시적인 모든 보증을 부인합니다. 어떠한 경우에도 슈나이더 일렉트릭은 직접적, 간접적, 우연적, 결과적 손실, 비즈니스 이익 손실 또는 특별 손해를 포함한 모든 손해에 대해 책임을지지 않습니다. 이 통지의 사용, 여기에 포함 된 정보 또는 관련 정보는 고객의 책임입니다. 슈나이더 일렉트릭은 언제라도 단독 재량에따라 업데이트하거나 변경할 권리를 보유합니다.

슈나이더 일렉트릭 소개

슈나이더는 에너지와 디지털에 대한 접근이 기본적인 인권이라고 생각합니다. 우리는 모든 사람에게 에너지와 자원을 최대한 활용할 수 있도록 힘을 주고 언제 어디서나 누구에게도 Life Is On을 보장합니다.

우리는 효율성과 지속 가능성을 위한 에너지 및 자동화 디지털 솔루션을 제공합니다. 우리는 세계 최고의 에너지 기술, 실시간 자동화, 소프트웨어 및 서비스를 주택, 건물, 데이터 센터, 인프라 및 산업을 위한 통합 솔루션으로 결합합니다.

우리는 의미있는 목적, 포괄적, 힘이 있는 가치관에 열정을 가진 개방적이고 글로벌한 혁신적인 커뮤니티의 무한한 가능성을 실현하기 위해 노력하고 있습니다.

www.se.com