Alerta de vulnerabilidade - WebAccess
A Advantech lançou uma nova versão do WebAccess, software para Human-Machine Interfaces e SCADA, com o objectivo de corrigir duas vulnerabilidades (CVE-2017-5152 e CVE-2017-5154) que permitem um atacante ter acesso a informação sensível remotamente.
Estas vulnerabilidades foram tipificadas como Authentication Bypass e SQL Injection.
Um atacante pode explorar a falha de SQL Injection no updateTemplate.aspx de forma a obter passwords de contas de administração. Para ter sucesso é necessário estar autenticado, no entanto essa autenticação pode ser facilmente ultrapassada. O Authentication Bypass permite que um atacante aceda a páginas web simplesmente indo a URL's específicos.
Acesso a páginas sem qualquer restrição.
Execução remota de código.
Atualização para a versão 8.2 do WebAccess.
ICS-CERT:
- https://ics-cert.us-cert.gov/advisories/ICSA-17-012-01
Zero Day Initiative:
- http://www.zerodayinitiative.com/advisories/ZDI-17-043
Security Week:
- http://www.securityweek.com/advantech-webaccess-flaws-allow-access-sensitive-data
Advantech:
- http://www.advantech.com/industrial-automation/webaccess