Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Advantech-en WebAccess-en

Argitalpen data: 2019/04/03

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • WebAccess/SCADA, 8.3.5 eta lehenagoko bertsioak.

Azalpena:

Mat Powell eta Natnael Samson ikertzaileek, Trend Micro Zero Day Initiative-rekin elkarlanean, Advantech-en WebAccess softwareari eragiten dioten era ezberdinetako hainbat ahultasun aurkitu dituzte: komandoen injekzioa, bufferraren gainezkatzea eta sarbidearen kontrol okerra.

Konponbidea:

Xehetasuna:

Erasotzaile batek ondokoa egin lezake:

  • Komandoak injektatzea, erabiltzaileak emandako datuen baliozkotzean dagoen akats baten eraginez. Ahultasun horretarako CVE-2019-6552 identifikatzailea erreserbatu da.
  • Kode arbitrarioa exekutatzea, pilan oinarritutako bufferraren gainezkatzearen eraginez, erabiltzaileak emandako datuen luzeraren baliozkotzearen akats bat dela eta. Ahultasun horretarako CVE-2019-6550 identifikatzailea erreserbatu da.
  • Zerbitzuaren ukapen egoera eragitea, sarbidearen kontrol okerraren ahultasun bat dela eta. Ahultasun horretarako CVE-2019-6554 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, SCADA, Ahultasuna