Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
В программном пакете для HMI и SCADA найдены уязвимости, позволяющие выполнять произвольный код.
Компания Advantech сообщила о выходе обновления для программного комплекса промышленной автоматизации WebAccess. В версии 8.3.1 производитель исправил более десятка уязвимостей, почти половина из которых — критические.
Самыми опасными признаны:
Эти баги получили практически максимальную оценку по шкале CVSS — 9,8 из 10 баллов — и могут использоваться для удаленного выполнения произвольного кода. Немного не дотягивают до них бреши в управлении привилегиями (8,4 балла CVSS), внешний контроль имени файла (7,5 баллов), удаленный поиск скрытых файлов через каталог (7,5 баллов). Эти бреши могут дать преступнику доступ к конфиденциальной информации или модификации и удалению файлов.
Поскольку WebAccess для человеко-машинных интерфейсов HMI и систем диспетчерского управления SCADA используется в энергетической и других важных отраслях производства, вмешательство злоумышленников в управление промышленной автоматизацией может представлять угрозу для жизни и здоровья людей. Согласно данным ICS-CERT, ошибки имеются в версиях:
Рекомендуется срочно обновить их до исправленной WebAccess 8.3.1.
Уязвимости в WebAccess обнаружили исследователи Мэтт Пауэлл (Mat Powell), Стивен Сили (Steven Seeley), Донато и Симон Онофри (Donato and Simone Onofri). Большинство ошибок найдено в рамках инициативы Zero Day. Ранее благодаря этой программе производитель закрыл несколько брешей в своем продукте WebAccess HMI Designer. В прошлогоднем отчете “Нулевого дня” эксперты отметили, что компания Advantech потратила на исправление уязвимостей порядка 131 дня, и этот показатель лучше, чем у многих других серьезных поставщиков ICS.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |