Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Kodearen urruneko exekuzioa AVEVAren InduSoft Web Studio eta InTouch Edge HMI-n

Argitalpen data: 2019/02/04

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • InduSoft Web Studio, 8.1 SP3 baino lehenagoko bertsioak
  • InTouch Edge HMI (Touch Machine Edition), 2017 Update 3 baino lehenagoko bertsioak

Azalpena:

Tenablek AVEVAren InduSoft Web Studio eta InTouch Edge HMI softwareari eragiten dioten bi ahultasun aurkitu ditu, era hauetakoak: funtzio kritikorako autentifikazio gabezia eta baliabideen identifikazioaren kontrol desegokia. Autentifikaziorik gabeko urruneko erasotzaile batek prozesu arbitrarioak exekuta litzake bereziki aldatutako datu baseen konexioen konfigurazioen fitxategiak erabiliz.

Konponbidea:

AVEVAk ahultasun horiek konpontzen dituzten software bertsio berriak argitaratu ditu:

  • InduSoft Web Studio, 8.1 SP3 bertsioa
  • InTouch Edge HMI (Touch Machine Edition), 2017 Update 3 bertsioa

Xehetasuna:

  • Autentifikaziorik gabeko erasotzaile batek bereziki aldatutako datu baseen konexioen konfigurazioen fitxategiak erabil litzake Server Machine-n prozesuak exekutatzeko InduSoft Web Studio eta InTouch Edge HMI softwarearen baimenekin, eta horrela zerbitzaria arriskuan jar lezake.
Etiketak: SCADA, Ahultasuna