Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Advantech-en WebAccess/SCADAn

Argitalpen data: 2019/01/25

Garrantzia: Kritikoa

Kaltetutako baliabideak:

  • WebAccess/SCADA, 8.3 bertsioa

Azalpena:

Attila Cybertech Pte. Ltd.-ko Devesh Logendran-ek Advantech-en WebAccess/SCADA softwareari eragiten dioten hainbat ahultasun aurkitu ditu, era ezberdinetakoak: autentifikazio desegokia, autentifikazioari ihes egitea eta SQL injekzioa. Erasotzaile lokal batek datu sentikorretara sarbidea lor lezake eta alda litzake.

Konponbidea:

  • Advantech-ek ahultasun horiek konpontzen dituen WebAccess/SCADAren 8.3.5 bertsioa argitaratu du.

Xehetasuna:

Erasotzaile batek ondokoa egin lezake:

  • Autentifikazioa saihestea eta urrunetik asmo gaiztoko datuak kargatzea. Ahultasun horretarako CVE-2019-6519 identifikatzailea erreserbatu da.
  • Bereziki aldatutako eskaerak egitea autentifikazioa saihesteko eta datu sentikorrak eskuratu edo aldatzeko. Ahultasun horretarako CVE-2019-6521 identifikatzailea erreserbatu da.
  • Modu egokian baliozkotu ez diren SQL sarrerak baliatzea. Ahultasun horretarako CVE-2019-6523 identifikatzailea erreserbatu da.
Etiketak: Eguneraketa, SCADA, Ahultasuna