バージョン 7.10 より前のToolboxSTバージョンは、デシリアライゼーションの脆弱性の影響を受けます。 HMIへのローカルアクセスを持つ攻撃者、または許可されたオペレータに対してソーシャルエンジニアリング攻撃を行った攻撃者は、信頼できない構成ファイルのデシリアライゼーションを通じて、Toolboxユーザのコンテキストでコードを実行することができます。
お客様には、ControlST 7.10にあるToolboxST 7.10 に更新することをお勧めします。 現時点で更新できない場合は、GE Gas Powerのセキュア展開ガイド(GEH-6839)に記載されているガイダンスに従っていることを確認してください。 お客様は、管理ユーザーとしてToolboxSTを実行していないことを確認する必要があります。
Team82 は、世界中のサイバーセキュリティエコシステムの安全性を確保するために、影響を受けるベンダーに、調整されたタイムリーな方法で脆弱性を個人的に報告することにコミットしています。 ベンダーおよび研究コミュニティと関わりを持つために、 Team82 は、当社の協調的開示ポリシーをダウンロードして共有するようお客様にお願いしています。Team82 は、製品およびサービスの脆弱性を発見した場合、この報告および開示プロセスに従います。
