Alerta de vulnerabilidade - WebAccess

A Advantech lançou uma nova versão do WebAccess, software para Human-Machine Interfaces e SCADA, com o objectivo de corrigir duas vulnerabilidades (CVE-2017-5152 e CVE-2017-5154) que permitem um atacante ter acesso a informação sensível remotamente.

Estas vulnerabilidades foram tipificadas como Authentication Bypass e SQL Injection.

Um atacante pode explorar a falha de SQL Injection no updateTemplate.aspx de forma a obter passwords de contas de administração. Para ter sucesso é necessário estar autenticado, no entanto essa autenticação pode ser facilmente ultrapassada. O Authentication Bypass permite que um atacante aceda a páginas web simplesmente indo a URL's específicos.

Acesso a páginas sem qualquer restrição.

Execução remota de código.

Atualização para a versão 8.2 do WebAccess.

ICS-CERT:
- https://ics-cert.us-cert.gov/advisories/ICSA-17-012-01

Zero Day Initiative:
- http://www.zerodayinitiative.com/advisories/ZDI-17-043

Security Week:
- http://www.securityweek.com/advantech-webaccess-flaws-allow-access-sensitive-data

Advantech:
- http://www.advantech.com/industrial-automation/webaccess