ICS-CERT и специалисты подразделения Trend Micro Zero Day Initiative (ZDI) обнародовали информацию о ряде опасных уязвимостей в приложении Mitsubishi Electric E-Designer, используемом для программирования панелей оператора Mitsubishi Electric серии E1000.
Первая группа уязвимостей затрагивает различные компоненты, задействованные в процессе обработки конфигурационного файла драйвера. Проблема заключается в отсутствии проверки вводимых пользователем данных перед их копированием в буфер, имеющим фиксированный размер, что позволяет атакующему выполнить код в контексте администратора. Для успешной атаки злоумышленник должен убедить жертву открыть вредоносный файл или интернет-страницу.
Уязвимости записи за пределами поля связаны с обработкой определенных секций файла проекта (.mpa). Данные проблемы также могут эксплуатироваться для выполнения кода. Эксперты проинформировали производителя об уязвимостях в мае 2016 года. Mitsubishi Electric не намерена выпускать патчи, устраняющие уязвимости, в связи с прекращением выпуска продукта.
Mitsubishi Electric – поставщик полного ряда компонентов автоматизации. Полная линейка продуктов включает различные решения – от приводов до контроллеров и индустриальных роботов наряду с несколькими сериями панелей управления для заводов и машиностроения и визуализации процессов.