Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Kredentzial barneratuak mySCADAren myPRO 7-n

Argitalpen data: 2018/05/22

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • myPRO 7

Azalpena:

Emre ÖVÜNÇ zibersegurtasun ikerlariak barneratutako kredentzialen ahultasun bat aurkitu du mySCADAren HMI/SCADA myPRO 7 softwarean. Erasotzaile batek kredentzial horiek balia litzake FTP zerbitzura konektatzeko eta fitxategiak igotzeko edo jaisteko.

Konponbidea:

Ez dago partxe edo eguneraketarik ahultasun hori konpontzeko. Une honetan dagoen konponbide bakarra 2121 atakarako trafikoa mugatzea da.

Xehetasuna:

myPROren azken bertsioak (v7) erabiltzailearen informazioa eta 2121 atakako ftp zerbitzariaren pasahitza fitxategi batean barneratuta dauzka. Erasotzaile batek kredentzial horiek balia litzake fitxategiak igo edo jaisteko myPRO softwarea exekutatzen duen zerbitzarian. Ahultasun horretarako CVE-2018-11311 identifikatzailea erreserbatu da.

Etiketak: Komunikazioak, Ahultasuna