Dossier Cybersecurity: kwetsbaarheden in Schweitzer Engineering Laboratories producten Compass en AcSELerator

Applied Risk onderzoeker Gjoko Kristic heeft kwetsbaarheden geidentificeerd in twee producten van Schweitzer Engineering Laboratories: SEL Compass versie 3.0.5.1 en AcSELerator Architect versie 2.2.24.0. Deze producten worden algemeen gebruikt in energiecentrales in Nederland en wereldwijd.

De kwetsbaarheid in de Compass wordt geclassificeerd als ernstig, aangezien het een CVSS (Common Vulnerability Scoring System) score heeft ontvangen van 8.2 (hoog). De kwetsbaarheid in de AcSELerator is een ‘medium’ CVSS score van 6.5 toegekend. Beide kwetsbaarheden kunnen alleen benut worden met directe toegang op locatie.

SEL Compass kent een kwetsbaarheid wat betreft het verhogen van privileges, waardoor een ongeauthenticeerde gebruiker een executable bestand kan gebruiken om privileges te verhogen en zo het systeem verder kan infecteren.

Voor AcSELerator kan een ongeauthenticeerde gebruiker een kwaadaardig project en/of template-bestand aanmaken waarmee willekeurige bestanden in de context van een getroffen systeem gelezen kunnen worden waardoor informatie via ongewenste kanalen bloot komt te liggen. Het kan tevens een denial of service-scenario in werking zetten waardoor een herstart van de applicatie nodig is, waardoor de operatie tijdelijk stil komt te liggen.

Applied Risk heeft met de fabrikant samengewerkt in het ‘responsible disclosure’ proces en de patch is inmiddels door Schweitzer Engineering Laboratories uitgebracht. Eindgebruikers kunnen de kwetsbaarheid verhelpen door het updaten van de firmware van de producten naar de nieuwste versie.

Schweitzer Engineering Laboratories bedenkt, ontwerpt en ontwikkeld digitale producten en systemen die electriciteitsnetten in de hele wereld beschermen. Hun technologie voorkomt stroomstoringen biedt klanten de mogelijkheid om de betrouwbaarheid en veiligheid kosten-efficient te verbeteren.

De advisories voor Schweitzer Engineering Laboratories AcSELerator en Schweitzer Engineering Laboratories Compass vind je hier: https://applied-risk.com/labs/advisories.