Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2019/02/04

Garrantzia: Kritikoa

Kaltetutako baliabideak:

• InduSoft Web Studio, 8.1 SP3 baino lehenagoko bertsioak
• InTouch Edge HMI (Touch Machine Edition), 2017 Update 3 baino lehenagoko bertsioak

Azalpena:

Tenablek AVEVAren InduSoft Web Studio eta InTouch Edge HMI softwareari eragiten dioten bi ahultasun aurkitu ditu, era hauetakoak: funtzio kritikorako autentifikazio gabezia eta baliabideen identifikazioaren kontrol desegokia. Autentifikaziorik gabeko urruneko erasotzaile batek prozesu arbitrarioak exekuta litzake bereziki aldatutako datu baseen konexioen konfigurazioen fitxategiak erabiliz.

Konponbidea:

AVEVAk ahultasun horiek konpontzen dituzten software bertsio berriak argitaratu ditu:

• InduSoft Web Studio, 8.1 SP3 bertsioa
• InTouch Edge HMI (Touch Machine Edition), 2017 Update 3 bertsioa

Xehetasuna:

• Autentifikaziorik gabeko erasotzaile batek bereziki aldatutako datu baseen konexioen konfigurazioen fitxategiak erabil litzake Server Machine-n prozesuak exekutatzeko InduSoft Web Studio eta InTouch Edge HMI softwarearen baimenekin, eta horrela zerbitzaria arriskuan jar lezake.

Etiketak: SCADA, Ahultasuna