Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun atzeman dira Omron etxearen CX-Supervisor produktuan

Argitaratze-data: 2019/01/18

Garrantzia: Handia

Kaltetutako baliabideak:

  • CX-Supervisor, v3.42 bertsioa eta aurrekoak

Deskribapena:

Source Incite enpresako Esteban Ruizek, Trend Micro-ren Zero Day Initiative ekimenaren barruan, Omron-en CX-Supervisor sistemari eragiten dioten hainbat ahultasun atzeman ditu. Erasotzaile batek komandoak exekutatu litzake, aplikazioaren testuinguruko pribilegioekin.

Konponbidea:

  • Omron etxeak CX-Supervisor sistemaren 3.5.0.11 bertsioa argitaratu du, ahultasun horiek konpontzeko. Ondo babesteko, garapen proiektuak eguneratu eta formatu berrian gorde behar dira, gerora 3.5.0.11 formatuan berreraikitzeko.

Xehetasuna:

  • Aplikazioaren bidez, proiektu-artxibo batean injektatu den kodea exekutatu daiteke. Erasotzaile batek ahultasun hori baliatu lezake, aplikazioaren pribilegioekin kodea exekutatzeko. CVE-2018-19011 identifikatzailea esleitu zaio.
  • Erasotzaile batek bereziki aldatutako proiektu-fitxategi bat sortu lezake, injektatutako komandoekin, gailu horretan artxiboak ezabatu edota aldatzeko. Ahultasun horretarako, CVE-2018-19013 identifikatzailea esleitu da.
  • Erasotzaileak komandoak injektatu litzake programak abian jartzeko eta bereziki aldatutako proiektu-fitxategi baten bidez gailuan artxiboak sortu, idatzi edota idazteko. Ahultasun horretarako, CVE-2018-19015 identifikatzailea esleitu da.
  • Erasotzaile batek bereziki aldatutako fitxategi bat erabili lezake, aplikazioaren memoriaren liberazioaren egiaztatzean akats bat baliatuz; eta, horrela, kodea exekutatuko luke, aplikazio-pribilegioekin. Ahultasun horretarako, CVE-2018-19017 identifikatzailea esleitu da.
  • Erasotzaile batek bereziki aldatutako fitxategi bat erabili lezake eta hainbat nahasmendu baliatu litzake aplikazioaren pribilegioekin kodea exekutatzeko. Ahultasun horretarako, CVE-2018-19011 identifikatzailea esleitu da.
Etiketak: Eguneraketa, Ahultasuna