O nouă vulnerabilitate de securitate a fost descoperită în software-ul Schneider Electric EcoStruxure Machine Expert HVAC, utilizat pentru programarea controlerelor logice Modicon M171-M172. Alerta a fost publicată de CISA și recomandă actualizarea imediată la cea mai recentă versiune.
Ce este EcoStruxure Machine Expert HVAC?
EcoStruxure Machine Expert HVAC este un mediu de programare dedicat sistemelor HVAC, care permite configurarea și controlul logic al echipamentelor Schneider Electric. Folosit pe scară largă în clădiri comerciale și industriale, software-ul gestionează date sensibile și cod sursă proprietar.
Detalii despre vulnerabilitate
Vulnerabilitatea, identificată cu SEVD-2026-132-01, are un scor CVSS de 5.5 (severitate medie). Exploatarea ei poate duce la divulgarea de informații sensibile, inclusiv cod sursă protejat, ceea ce compromite confidențialitatea datelor. Atacatorii ar putea folosi aceste informații pentru a replica sau modifica logica de control.
Versiunile afectate și soluția
Sunt afectate toate versiunile de EcoStruxure Machine Expert HVAC anterioare lui 1.10.0. Singura remediere este actualizarea la versiunea 1.10.0 sau mai nouă, disponibilă pe site-ul Schneider Electric. Compania recomandă aplicarea imediată a patch-ului și respectarea ghidului de securitate SEVD-2026-132-01.
Recomandări pentru utilizatori
Utilizatorii ar trebui să verifice versiunea instalată și să urmeze instrucțiunile de actualizare. De asemenea, se recomandă restricționarea accesului la rețea și monitorizarea activităților suspecte. În cazul în care nu se poate aplica patch-ul, se sugerează izolarea sistemelor afectate.
Vulnerabilitatea reamintește importanța actualizărilor regulate în sistemele industriale, unde o breșă de securitate poate avea consecințe grave asupra operațiunilor și confidențialității datelor.