CONOCIMIENTO pertenece al mundo
Advantech ha parcheado un par de vulnerabilidades graves en WebAccess, un paquete de software basado en web para interfaces hombre-máquina (HMI) y control de supervisión y adquisición de datos (SCADA).
Los defectos, descubiertas por los investigadores Tenable Network Security y reportados al proveedor a través de Zero Day Initiative de Trend Micro (ZDI), permiten a un atacante remoto acceder a la información potencialmente sensible.
Las vulnerabilidades son rastreados como CVE-2.017-5154 y CVE-desde 2017 hasta 5152, y que han sido descritos como inyección de SQL y los problemas de derivación de autenticación. ICS-CERT ha asignado calificaciones CVSS de 9,8 y 9,1, respectivamente, lo que los coloca en la categoría de gravedad crítica.
De acuerdo con un boletín publicado por ZDI, un atacante remoto puede explotar una falla de inyección SQL en updateTemplate.aspx para obtener las contraseñas de las cuentas de administrador de WebAccess. El atacante necesita ser autenticado con el fin de explotar la vulnerabilidad, pero la autenticación puede ser evitado fácilmente.
ICS-CERT dijo que no tenía conocimiento de ningún exploit público dirigido específicamente a estas vulnerabilidades, pero señaló que los defectos pueden ser explotadas remotamente por un atacante, incluso con baja habilidad.
Los agujeros de seguridad afectan WebAccess 8.1 y han sido actualizados por Advantech con el lanzamiento de la versión 8.2.
Numerosas vulnerabilidades que afectan a los productos Advantech se dieron a conocer el año pasado. Mientras ICS-CERT publicó sólo unos pocos avisos, ZDI informado de que el vendedor tenía el segundo mayor número de avisos (112) publicadas en su sitio web en 2016.
Nuevo formato para los avisos de ICS-CERT
ICS-CERT ha cambiado el formato de sus avisos. El título nombres más largos sin el producto afectado y el tipo de vulnerabilidad, y en su lugar muestra la puntuación CVSS v3 de la cuestión más grave. La primera parte de este documento informativo proporciona información sobre la puntuación CVSS, posibilidad de explotación, el proveedor afectado, el producto afectado, y el tipo de vulnerabilidad.
Los detalles sobre las vulnerabilidades y el nombre del investigador que encontraron los defectos se enumeran al final, después de la información sobre el impacto y mitigación.
Fuente: http: //www.securityweek.com
CONOCIMIENTO pertenece al mundo
No hay comentarios:
Publicar un comentario