ភាពងាយរងគ្រោះសំខាន់ៗរបស់កម្មវិធី AVEVA អនុញ្ញាតឱ្យមានការប្រតិបត្តិកូដពីចម្ងាយក្រោមសិទ្ធិប្រព័ន្ធ

ភាពងាយរងគ្រោះចំនួនប្រាំពីរត្រូវបានបង្ហាញនៅក្នុង Process Optimization (ដែលពីមុនហៅថា ROMEO) 2024.1 និងមុននេះនៅថ្ងៃទី 13 ខែមករា ឆ្នាំ 2026 រួមទាំងកំហុសធ្ងន់ធ្ងរមួយដែលអាចឱ្យមានការប្រតិបត្តិកូដពីចម្ងាយកម្រិតប្រព័ន្ធដែលមិនបានផ្ទៀងផ្ទាត់។

ភាពងាយរងគ្រោះធ្ងន់ធ្ងរបំផុតអាចឱ្យអ្នកវាយប្រហារដែលមិនបានផ្ទៀងផ្ទាត់អាចសម្រេចបាននូវការប្រតិបត្តិកូដពីចម្ងាយក្រោមសិទ្ធិប្រព័ន្ធ ដែលបង្កហានិភ័យភ្លាមៗដល់បរិស្ថានត្រួតពិនិត្យដំណើរការឧស្សាហកម្មទូទាំងពិភពលោក។

ការគំរាមកំហែងចម្បងកើតចេញពីភាពងាយរងគ្រោះនៃការចាក់កូដដ៏សំខាន់នៅក្នុងស្រទាប់ API របស់កម្មវិធី។ អ្នកវាយប្រហារដែលមិនបានផ្ទៀងផ្ទាត់អាចទាញយកប្រយោជន៍ពីកំហុសនេះដើម្បីប្រតិបត្តិកូដតាមអំពើចិត្តជាមួយនឹងសិទ្ធិប្រព័ន្ធពេញលេញនៅលើសេវាកម្ម "taoimr"។

អាចធ្វើឱ្យខូចដល់ម៉ាស៊ីនបម្រើកម្មវិធីគំរូទាំងមូល និងហេដ្ឋារចនាសម្ព័ន្ធដែលបានភ្ជាប់។

សេចក្តីសង្ខេបអំពីភាពងាយរងគ្រោះ

ការវាយប្រហារនេះមិនតម្រូវឱ្យមានអន្តរកម្មរបស់អ្នកប្រើប្រាស់ទេ មានភាពស្មុគស្មាញទាប ហើយអាចត្រូវបានប្រតិបត្តិពីចម្ងាយតាមរយៈបណ្តាញ ដែលធ្វើឱ្យវាមានគ្រោះថ្នាក់ខ្លាំងសម្រាប់អង្គការដែលកំពុងដំណើរការកំណែដែលងាយរងគ្រោះ។

ភាពងាយរងគ្រោះធ្ងន់ធ្ងរបន្ថែមរួមមានការចាក់កូដតាមរយៈមុខងារម៉ាក្រូដែលអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ដែលបានផ្ទៀងផ្ទាត់បង្កើនពីអ្នកប្រើប្រាស់ប្រព័ន្ធប្រតិបត្តិការស្តង់ដារទៅសិទ្ធិកម្រិតប្រព័ន្ធ។

ចំណុចខ្សោយនៃការចាក់ SQL នៅក្នុងសមាសភាគ Captive Historian ដែលផ្តល់សិទ្ធិចូលប្រើរដ្ឋបាល SQL Server ដល់អ្នកវាយប្រហារ។

ចំណុចខ្សោយនៃការលួច DLL អនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ដែលមានការផ្ទៀងផ្ទាត់អាចផ្ទុកកូដតាមអំពើចិត្ត និងលើកកម្ពស់សិទ្ធិរបស់ពួកគេទៅកម្រិតប្រព័ន្ធ។

វ៉ិចទ័រវាយប្រហារទាំងនេះបង្ហាញរួមគ្នានូវផ្លូវកេងប្រវ័ញ្ចដ៏ស្មុគស្មាញដែលអាចធ្វើឱ្យខូចប្រព័ន្ធដែលរងផលប៉ះពាល់ទាំងស្រុង។

AVEVA ណែនាំសកម្មភាពជាបន្ទាន់៖ អង្គការនានាគួរតែធ្វើឱ្យប្រសើរឡើងទៅ AVEVA Process Optimization 2025 ឬខ្ពស់ជាងនេះ ដើម្បីជួសជុលចំណុចខ្សោយដែលបានកំណត់ទាំងអស់។

ជាវិធានការការពារបណ្តោះអាសន្ន អ្នកគ្រប់គ្រងគួរតែអនុវត្តច្បាប់ជញ្ជាំងភ្លើងបណ្តាញដែលរឹតបន្តឹងសេវាកម្ម taoimr (ច្រកលំនាំដើម 8888/8889) ទៅកាន់ប្រភពដែលទុកចិត្តតែប៉ុណ្ណោះ។

អនុវត្តបញ្ជីត្រួតពិនិត្យការចូលប្រើយ៉ាងតឹងរ៉ឹងចំពោះការដំឡើង និងថតទិន្នន័យ និងរក្សាការគ្រប់គ្រងការផ្លាស់ប្តូរយ៉ាងតឹងរ៉ឹងសម្រាប់ឯកសារគម្រោង។

ចំណុចខ្សោយទាំងនេះត្រូវបានរកឃើញក្នុងអំឡុងពេលធ្វើតេស្តជ្រៀតចូលដែលបានគ្រោងទុកដោយអ្នកស្រាវជ្រាវសន្តិសុខ Veracode លោក Christopher Wu និងសម្របសម្រួលជាមួយ CISA។

អង្គការដែលដំណើរការបរិស្ថាន AVEVA Process Optimization គួរតែផ្តល់អាទិភាពដល់ការបិទភ្ជាប់ភ្លាមៗ ដើម្បីការពារការកេងប្រវ័ញ្ចចំណុចខ្សោយសំខាន់ៗទាំងនេះនៅក្នុងហេដ្ឋារចនាសម្ព័ន្ធប្រព័ន្ធត្រួតពិនិត្យឧស្សាហកម្មរបស់ពួកគេ។