施耐德電氣U.motion Builder軟件安全漏洞詳細信息遭到曝光，而相關廠商目前尚未發布任何修復補丁。

施耐德電氣公司的U.motion是一套自動化機制構建解決方案，目前被廣泛用于全球范圍內的各商業設施、關鍵性制造以及能源行業。U.motion Builder這款工具允許用戶為各類U.motion設備創建出與需求相適應的項目。

昵稱為“rgod”的安全研究人員安德雷·米凱萊茨發現U.motion Builder軟件的1.2.1版本與此前的多個版本存在數項安全漏洞，其中包括數項嚴重級別及高危級別漏洞。

根據ICS-CERT以及施耐德公司發布的咨詢報告所言，這批安全漏洞包括SQL注入、路徑遍歷、身份驗證繞過、硬編碼密碼、不正確訪問控制、信息泄露以及拒絕服務（簡稱DoS）等多個問題。

攻擊者可以利用此安全漏洞執行任意代碼與命令、竊取文件、以高權限身份訪問系統、獲取信息并為DoS攻擊建立必要條件，在某些情況下，甚至無需進行身份驗證即可實現上述目標。這些安全漏洞早在2016年3月即由米凱萊茨通過零日倡議項目（簡稱ZDI）上報給施耐德公司與ICS-CERT。幾個月之后，該廠商作出回應，表示預計將在2016年年底發布可用修復補丁。

然而截至目前，相關修復補丁仍未正式發布，因此ZDI公布了20多條建議以詳細介紹研究人員在U.motion Builder軟件當中發現的每一項安全漏洞。這些建議包括惡意人士可能利用的詳盡漏洞信息，例如受到影響的文件與相關參數。

施耐德電氣公司目前已經承諾在今年8月末之前發布一項更新，同時提醒客戶在補丁發布后應第一時間更新安裝。另外，該公司還建議用戶將受影響軟件置于防火墻保護之下，確保托管該軟件的設備不與網絡相連接，使用應用程序白名單與訪問控制功能，同時保證僅接入來自受信VPN的遠程訪問。

事實上，這已經不是研究人員第一次在相關供應商遲遲未有發布補丁或者提供更新報告的情況下，選擇將安全漏洞信息公諸于眾——施耐德公司此前也遇到過類似的狀況。今年4月，專家們發現兩項對施耐德PLC存在影響的安全漏洞。該公司雖然承認了問題的存在，但卻未將其作為獨立事件認真對待。

ICS-CERT亦在本周公布了多份咨詢報告，其中針對西門子公司旗下Viewport for Web Office Portal、SIMATIC、SINUMERIK以及SIMOTION等產品內的重大安全缺陷給出了相關建議。