Bezpečnostné varovanie V20180516-01

Dôležitosť Kritická
Klasifikácia Neutajované/TLP WHITE
CVSS Skóre
9.8
Identifikátor
Advantech WebAccess Multiple Critical Vulnerabilities
Popis
Spoločnosť Advantech vydala bezpečnostnú aktualizáciu na svoj produkt WebAccess, ktorá opravuje viacero kritických bezpečnostných zraniteľností.
Najvážnejšie bezpečnostné zraniteľnosti spočívajú v nedostatočnej implementácii bezpečnostných mechanizmov a nedostatočnom overovaní používateľských vstupov.
Vzdialený neautentifikovaný útočník by ich mohol zneužiť na neobmedzené nahrávanie súborov bez autorizácie, spôsobiť pretečenie zásobníka a následné vykonanie škodlivého kódu s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.
Dátum prvého zverejnenia varovania
15.05.2018
CVE
CVE-2018-7495, CVE-2018-7497, CVE-2018-7499, CVE-2018-7501, CVE-2018-7503, CVE-2018-7505, CVE-2018-8841, CVE-2018-8845, CVE-2018-10589, CVE-2018-10590, CVE-2018-10591
Zasiahnuté systémy
Advantech WebAccess verzie staršie ako 8.3.1
Advantech WebAccess Dashboard verzia V.2.0.15 a staršie
Advantech WebAccess Scada Node verzie staršie ako 8.3.1
Advantech WebAccess/NMS verzia 2.0.3 a staršie
Následky
Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému
Neoprávnený prístup k citlivým údajom
Neoprávnená zmena v systéme
Odporúčania
Administrátorom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov, aplikovať firewallové pravidlá a limitovať prístup k zasiahnutým zariadeniam a jeho funkciám zavedením zoznamu pre riadenie prístupov (ACL).
Zdroje
https://ics-cert.us-cert.gov/advisories/ICSA-18-135-01

« Späť na zoznam