Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/10/16

Garrantzia: Altua

Kaltetutako baliabideak:

• WebAccess/SCADA, 9.0 bertsioa eta aurrekoak;
• R-SeeNet, 1.5.1etik 2.4.10erako bertsioak.

Azalpena:

Trend Micro erakundeko ZDIko Sivathmican Sivakumaran ikertzaileek eta rgod izenez ezaguna denak, Trend Micro erakundeko ZDIrekin lankidetzan, 2 ahultasunen berri eman dute, biak larritasun handikoak, artxibo izen edo ibilbidearen kanpo kontrol edo SQL injekzio motakoak.

Konponbidea:

• WebAccess/SCADA 9.0.1. bertsiora edo ostekoetara eguneratzea;
• R-SeeNet 2.4.11 bertsiora edo ostekoetara eguneratzea.

Xehetasunak:

• WebAccess/SCADA sistemako WADashboard osagaiaren bidez, erasotzaile batek artxiboen sistemako operazio batean erabilitako ibilbide batean eragin lezake edo kontrolatu lezake, administrari gisa kodea urrunetik exekutatzeko aukera emanez. Ahultasun horretarako, CVE-2020-25161 identifikatzailea esleitu da.
• R-SeeNet delakoaren web orriak SQL injekzio bat jasan lezake. Horren bidez, urrutiko erasotzaile batek datu-baseetako kontsultak egin litzake eta informazio konfidentziala lortu. Ahultasun horretarako, CVE-2020-25157 identifikatzailea esleitu da.

Etiketak: Eguneratzea, Azpiegitura kritikoak, SCADA, Ahultasuna.