Positive Technologies – produttore leader nella fornitura di soluzioni di sicurezza aziendale, gestione delle vulnerabilità, analisi delle minacce e protezione delle applicazioni – ha recentemente annunciato di aver rilevato una vulnerabilità critica nel sistema StruxureWare Data Center Expert di Schneider Electric.
La soluzione di Schneider Electric, progettata per monitorare l’infrastruttura fisica dei Data Center, viene utilizzata da banche, società di media, compagnie assicurative, centri medici e altre aziende per gestire completamente il corretto funzionamento dei propri DC, dal sistema di raffreddamento ai generatori di backup.
La vulnerabilità rilevata è stata valutata 7.6 sulla scala CVSS v3 (Common Vulnerability Scoring System), un alto livello di pericolo legato al possibile accesso da remoto di un estraneo in grado di accedere alle informazioni sensibili contenute nei sistemi di supporto dei Data Center associati a StruxureWare Data Center Expert. A causa di questa vulnerabilità gli hacker sono in grado di recuperare le password dalla memoria operativa dal lato cliente della piattaforma dove queste vengono tenute in forma non criptata.
“Un hacker potrebbe usare questa vulnerabilità per accedere alla rete interna dei Data Center, ottenere informazioni confidenziali o addirittura causare danni fisici – ha commentato Ilya Karpov, Responsabile del Dipartimento di Ricerca e di Analisi dei Sistemi di Controllo Industriali di Positive Technologies – Le piattaforme DCIM (Data Center Infrastructure Management) permettono di controllare tutta l’attività dei Data Center in quanto collegate a tutti i sistemi installati. Una vulnerabilità di questo tipo minaccia il corretto funzionamento di tutti i sistemi dai quali i DC dipendono: i sistemi di videosorveglianza, gli impianti di estinzione, i generatori di backup, gli interruttori, le stazioni di pompaggio, le centraline dei motori e gli impianti di raffreddamento”.
Per eliminare le vulnerabilità Positive Technologies raccomanda di aggiornare StruxureWare Data Center Expert alla versione 7.4[1].
Vulnerabilità in Schneider Electric erano già state rilevate dagli esperti di Positive Technologies negli scorsi anni: nel 2013 e nel 2014 erano state riscontrate falle nel Wonderware Information Server, il software dell’azienda per i sistemi SCADA, mentre alla IV edizione dei Positive Hack Days i partecipanti alla competizione Critical Infrastructure Attack avevano rilevato altre vulnerabilità. Inoltre, nel 2015, Ilya Karpov aveva riscontrato un problema in InTouch Machine Edition 2014 legato allo storage delle password non criptate.
