Argitalpen data: 2021/02/17

Garrantzia:Altua

Kaltetutako balibideak:

Advantech WebAccess/SCADA, 9.0.1 bertsioa.

Azalpena:

Cisco Talos erakundeko Yuri Kramarzikertzaileak hainbat ahultasun antzeman ditu Advantech WebAccess gailuetan.Horien bidez, erasotzaile batek informazioa zabaldu lezake, edotapribilegioetan gora egin, eta gailuan pribilegio administratiboak dituen kodeaexekuta lezake.

Konponbidea:

Advantech WebAccess etxeak ez du ahultasunhoriek konpontzeko partxerik argitaratu.

Sarearen barruan gailuen erakusketa-mailamurriztea gomendatzen da, eta soilik sistema fidagarrien bidez konektatzea. Sistemetarakosarbidea konfiantzazko erabiltzaileei soilik mugatzea ere gomendatzen da.

Xehetasunak:

Antzemandako ahultasunen bidez, informazioazabaldu liteke, Advantech WebAccess instalazio funtzionalitatean tokikoartxiboak sartuz, egiaztatutako HTTP eskaera baten bidez.

Ahultasun horien bidez tokikopribilegioetan gora egiteko aukera ere izango lukete, Advantech WebAccessinstalazioaren artxiboen sistemaren baimenen bidez. Pribilegio administratiboakdituzten kodeak exekutatzeko kargatutako moduluak edo modulu bitarrak ordeztulitezke. Ahultasun hori sistemaren artxibo eta bitar batzuetan ematen da, halanola exekutagarria edo  PostgreSQLren DLLliburutegiak, edo bestelako zerbitzu batzuk: SaaS-Composer_keep-alive, WebAccessMongoDB,Dashboard (Grafana) edo WISE-PaaS_SaaS-Composer, esaterako.

Ahultasun honi honako identifikatzaileakesleitu zaizkio: CVE-2020-13550, CVE-2020-13551, CVE-2020-13552,CVE-2020-13553, CVE-2020-13554 eta CVE-2020-13555.

Etiketak: Komunikazioak, Azpiegitura kritikoak, IoT, SCADA, Ahultasuna.