Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Sarbidearen kontrol desegokia Advantech-en WebAccess-en

Argitalpen data: 2019/03/29

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • WebAccess

Azalpena:

Trend Micro Zero Day Initiative-ko Mat Powell ikertzaileak sarbidearen kontrol desegoki erako bi ahultasunen berri eman du, Advantech-en WebAccess softwareari eragiten diotenak. Urruneko erasotzaile batek gailuan kode arbitrarioa exekutatzea lor lezake autentifikatuta egon gabe.

Konponbidea:

  • Ez da konponbiderik argitaratu ahultasun hauetarako. Interakzioa konfiantzako makinek soilik izatea gomendatzen da. WebAccess-erako komunikazioa soilik baimendu behar zaie prozesuarekin harremana zilegi den moduan duten bezeroei eta zerbitzariei.

Xehetasuna:

  • Erabiltzaileak emandako testu katearen egiaztapen eza antzeman da spchapi.exe eta tv_enua.exe zerbitzuetan, sistemari egiten zaion dei bat exekutatzeko erabili aurretik. Autentifikaziorik gabeko urruneko erasotzaile batek kode arbitrarioa exekuta lezake Administratzailearen testuinguruan.

Etiketak: 0day, Ahultasuna.