Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Ejecución remota de código en InduSoft Web Studio e InTouch Edge HMI de AVEVA

Fecha de publicación: 04/02/2019

Importancia: Crítica

Recursos afectados:

  • InduSoft Web Studio, versiones anteriores a la 8.1 SP3
  • InTouch Edge HMI (Touch Machine Edition), versiones anteriores a 2017 Update 3

Descripción:

Tenable ha identificado dos vulnerabilidades de tipo falta de autenticación para función crítica y control inadecuado de identificación de recursos que afectan al software InduSoft Web Studio e InTouch Edge HMI de AVEVA. Un atacante remoto no autenticado podría ejecutar procesos arbitrarios usando ficheros de configuración de conexiones de base de datos especialmente modificados.

Solución:

AVEVA ha publicado nuevas versiones de software que solucionan estas vulnerabilidades.

  • InduSoft Web Studio, versión 8.1 SP3
  • InTouch Edge HMI (Touch Machine Edition), versión 2017 Update 3

Detalle:

  • Un atacante no autenticado podría usar ficheros de configuración de conexiones de base de datos especialmente modificados para ejecutar procesos en Server Machine con los permisos de software InduSoft Web Studio e InTouch Edge HMI y comprometer el servidor.

Etiquetas: SCADA, Vulnerabilidad