施耐德电气ICS软件中发现的漏洞

在发现软件中的漏洞后，强烈建议施耐德电气的Unity Pro软件用户下载升级。

根据Indegy Labs的说法，Unity Pro中的漏洞允许任何用户直接在安装了该软件的任何计算机上远程执行代码。使用施耐德电气控制器的世界上每个控制网络都存在此漏洞。

具体来说，攻击者能够远程访问工业控制器并使用操纵的.apx文件执行恶意代码。由于.apx文件的传递是在专有控件上执行的工程控制平面活动，因此很难检测到。这是因为这些控制器往往是未命名，未记录和不受监控的。

Indegy说，为检测这些攻击，必须监视ICS网络的专有控制平面协议。

提醒用户注意此漏洞后，下载由Schneider发布的升级。该公司还发布了安全通知，指示用户减轻威胁。

大约六个月前，Indegy告知Schneider该漏洞。该漏洞的详细信息已于本周发布，以使Schneider有机会修改其软件。