Solid Edge: Perangkat Lunak Pemodelan Padat yang Dipengaruhi oleh Kerentanan

  • Whatsapp
Solid Edge: Perangkat Lunak Pemodelan Padat yang Dipengaruhi oleh Kerentanan

 

Siemens menerbitkan pemberitahuan konsumen pada hari Selasa 25 Mei tentang beberapa kerentanan serius yang berdampak pada produk Solid Edge-nya. Kesalahan dihasilkan menggunakan perangkat lunak pihak keempat, yang sering digunakan oleh banyak organisasi lain.
“Paket instalasi Solid Edge mencakup versi spesifik dari produk pihak ketiga KeyShot dari Luxion, yang mungkin tidak berisi perbaikan keamanan terbaru yang disediakan oleh Luxion. Siemens merekomendasikan untuk memperbarui KeyShot sesuai dengan informasi di Luxion Security Advisory LSA-394129,” baca saran yang dirilis oleh Siemens.
Peneliti keamanan Andrea Micalizzi, yang telah mendeteksi banyak kekurangan dalam sistem industri dalam beberapa tahun terakhir, juga menemukan masalah di Siemens Solid Edge tahun lalu. Masalah kerentanan telah dilaporkan oleh Zero Day Initiative (ZDI) dari Trend Micro dan US Cybersecurity and Infrastructure Security Agency (CISA).
Solid Edge adalah perangkat lunak untuk pemodelan solid dalam 3D CAD, parametrik dan teknologi sinkron. Ini beroperasi pada Microsoft Windows dan menawarkan pemodelan solid insinyur mekanik, pemodelan perakitan, dan fungsi tampilan ortografis 2D.
Micalizzi menemukan bahwa lima kerentanan membahayakan produk, terdiri dari empat kelemahan kerusakan memori serius yang memungkinkan implementasi kode jarak jauh dan satu masalah XXE berukuran sedang yang dapat memberikan informasi terbuka. Kerentanan memang dapat dipicu melalui pemrosesan file CATPart, 3DXML, STP, PRT, atau JT berbahaya oleh calon pelanggan.
Sebuah studi yang berfokus pada kerentanan menunjukkan bahwa mereka dikembangkan dengan menggunakan KeyShot, solusi rendering dan animasi 3D yang diproduksi oleh Luxion. Lebih banyak penelitian menunjukkan bahwa Datakit CrossCad / Ware, perpustakaan yang digunakan KeyShot untuk mengimpor file CAD (desain berbantuan komputer) yang berbeda, sebenarnya menimbulkan masalah.
CrossCAD /Ware telah digunakan oleh berbagai macam produk yang berbeda, meskipun hanya Siemens, KeyShot, dan CISA yang telah menerbitkan peringatan untuk masalah tersebut.
Pada 12 Mei, ZDI juga menerbitkan peringatan dengan status “0day” pada setiap kerentanan karena dilaporkan tidak ditambal.
Pemberitahuan Zero Day berbunyi sebagai “Kerentanan ini memungkinkan penyerang jarak jauh untuk mengeksekusi kode arbitrer pada instalasi Siemens Solid Edge Viewer yang terpengaruh. Interaksi pengguna diperlukan untuk mengeksploitasi kerentanan ini karena target harus mengunjungi halaman berbahaya atau membuka file berbahaya. Cacat tertentu ada dalam penguraian file JT. Masalah ini disebabkan oleh kurangnya validasi yang tepat dari data yang disediakan pengguna, yang dapat mengakibatkan pembacaan melewati akhir dari struktur data yang dialokasikan. Seorang penyerang dapat memanfaatkan kerentanan ini untuk mengeksekusi kode dalam konteks proses saat ini.”
Meskipun demikian, Datakit melaporkan bahwa mereka telah menyelesaikan masalah pada bulan April dengan CrossCAD/Ware versi 2021.2. Perusahaan telah mendorong penyedia perangkat lunak untuk meningkatkan ke versi 2021.2 – versi sebelumnya masih terpengaruh. Perusahaan juga mengusulkan untuk menghindari file yang tidak tepercaya dari pengirim yang tidak diverifikasi ke pengguna aplikasi yang terpengaruh.
Luxion menerbitkan KeyShot 10.2, yang berisi versi tambalan dari perpustakaan Datakit, dan Siemens telah mendesak pengguna di Solid Edge untuk meningkatkan KeyShot sesuai dengan instruksi penasihat keamanan yang diberikan oleh Luxion.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

1 Komentar