SK-CERT Bezpečnostné varovanie V20200916-02

16. septembra 2020

Dôležitosť	Kritická
Klasifikácia	Neutajované/TLP WHITE
CVSS Skóre	9.6

Identifikátor

Aveva Enterprise Data Management Web – kritické zraniteľnosti

Popis

Spoločnosť Aveva vydala bezpečnostnú aktualizáciu na svoj produkt Enterprise Data Management Web, ktorá opravuje kritické bezpečnostné zraniteľnosti.
Bezpečnostné zraniteľnosti umožňujú vzdialenému, neautentifikovanému útočníkovi, nachádzajúcemu sa v rovnakom sieťovom segmente prostredníctvom SQLi útoku vykonať škodlivý kód s následkom úplného narušenia dôvernosti, integrity a dostupnosti systému.

Dátum prvého zverejnenia varovania

09.09.2020

CVE

CVE-2020-13499, CVE-2020-13500, CVE-2020-13501

IOC

–

Zasiahnuté systémy

AVEVA Enterprise Data Management Web verzie staršie ako v2019 SP1

Následky

Vykonanie škodlivého kódu a úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania

Administrátorom odporúčame bezodkladne vykonať aktualizáciu zasiahnutých systémov.
Po odstránení zraniteľností, ktoré mohli spôsobiť vzdialené vykonanie kódu, je dobrou praxou kontrola systému a zmena všetkých hesiel a kľúčov na dotknutom systéme a aj na iných systémoch, kde sa používalo rovnaké heslo či kľúč.
Riadiace jednotky a systémy odporúčame prevádzkovať úplne oddelené od internetu.

Zdroje

https://www.aveva.com/content/dam/aveva/documents/support/cyber-security-updates/SecurityBulletin_AVEVA-2020-001.pdf
https://us-cert.cisa.gov/ics/advisories/icsa-20-254-01
https://exchange.xforce.ibmcloud.com/vulnerabilities/188125
https://exchange.xforce.ibmcloud.com/vulnerabilities/188128
https://exchange.xforce.ibmcloud.com/vulnerabilities/188129

« Späť na zoznam

SK-CERT Bezpečnostné varovanie V20200916-02

SK-CERT Bezpečnostné varovanie V20240419-04

SK-CERT Bezpečnostné varovanie V20240419-03

SK-CERT Bezpečnostné varovanie V20240419-02