Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Fecha de publicación: 28/09/2018

Importancia: Crítica

Recursos afectados:

• AMS Device Manager versiones de la 12.0 a la 13.5

Descripción:

El investigador Sergy Temnikov de Kaspersky Lab, en colaboración con Emerson, ha reportado varias vulnerabilidades de gestión de privilegios y control de acceso inadecuados.

Solución:

Emerson recomienda a los usuarios actualizar los productos con la versión 12.0 afectados a la versión 13.5. Los parches están disponibles para los usuarios en:

https://guardian.emersonprocess.com/

La vulnerabilidad CVE-2018-14808 podría no explotarse si se implementara una lista blanca de aplicaciones ya que evitaría que los archivos se sobrescribieran.

Para limitar la exposición a ésta y otras vulnerabilidades, Emerson recomienda implementar y configurar AMS Device Manager como está descrito en la guía de instalación de AMS Device Manager que está disponible en el portal de soporte de Emerson Guardian.

Detalle:

• Un atacante remoto podría utilizar un script especialmente diseñado para ejecutar en el software afectado código arbitrario debido a un control de acceso inadecuado. Se ha asignado el identificador CVE-2018-14804 para esta vulnerabilidad.
• Los usuarios que no son administradores pueden cambiar archivos ejecutables y librerías del software afectado aprovechándose de una inadecuada gestión de privilegios. Se ha asignado el identificador CVE-2018-14808 para esta vulnerabilidad.

Etiquetas: Vulnerabilidad