lunes, 18 de enero de 2016

Vulnerabilidades descubiertas en Advantech WebAccess

Se han reportado varias vulnerabilidades en Advantech WebAccess que podrían permitir a un atacante remoto, subir, crear o borrar archivos arbitrarios en el sistema de la víctima; denegar acceso a usuarios válidos y potencialmente ejecutar código arbitrario de forma remota.

Advantech WebAccess es un paquete de software basado en html5 para interfaces HMI (human-machine interfaces) y SCADA. Todas las características comunes de estos dos sistemas son accesibles desde un navegador web estándar. Presenta características como soporte y sistema de ingeniería remota a través de la nube, interface modulable con widgets y APIs, además de soporte para PC, Macs, tablets y otros dispositivos inteligentes.

Resumen de los problemas resueltos, por CVE e importancia: 
  • CVE-2016-0851: Un atacante remoto podría valerse de un error de falta de comprobación, lo que podría causar un acceso (lectura o escritura) a memoria fuera de límites. Esto podría ser aprovechado por dicho atacante para provocar una denegación de servicio.
        
  • CVE-2016-0854: Existe un error de validación de restricciones que podría permitir a un atacante remoto subir y sobrescribir ficheros arbitrarios en el sistema.
        
  • CVE-2016-0855: Un atacante remoto podría realizar un ataque de directorio transversal, permitiendo que el directorio virtual pueda ser accesible anónimamente.
        
  • CVE-2016-0856: Un atacante remoto podría ejecutar código arbitrario debido a múltiples errores que podrían provocar desbordamientos de memoria basada en pila.
        
  • CVE-2016-0857: Múltiples errores que podrían provocar desbordamientos de memoria basada en heap, que permitirían a un atacante remoto ejecutar código arbitrario.
         
  • CVE-2016-0858: Existe un error de condición de carrera que podría causar un desbordamiento de memoria. Esto podría ser aprovechado por un atacante remoto para causar una denegación de servicio y potencialmente ejecutar código arbitrario a través de peticiones especialmente manipuladas.
         
  • CVE-2016-0859: Existe un error que podría causar un desbordamiento de enteros en el servicio Kernel. Un atacante remoto podría causar una denegación de servicio o potencialmente ejecutar código arbitrario a través de peticiones RPC especialmente manipuladas.
         
  • CVE-2016-0860: Un atacante remoto podría valerse de un error de desbordamiento de memoria en el subsistema 'BwpAlarm' para causar una denegación de servicio a través de peticiones RPC especialmente manipuladas.
         
  • El resto de problemas, con un impacto de seguridad inferior a las anteriores, se deben a varias vulnerabilidades que permiten ataques de tipo cross-site scripting, cross-site request forgery, inyección SQL, etc. Los CVEs son los siguientes: CVE-2016-0852, CVE-2016-0853, CVE-2015-3948, CVE-2015-3947, CVE-2015-3946, CVE-2015-6467, CVE-2015-3943.


Estas vulnerabilidades han sido reportadas por Ilya Karpov de Positive Technologies, Ivan Sanchez, Andrea Micalizzi, Ariele Caltabiano, Fritz Sands y Steven Seeley entre otros.

Estos problemas afectan a versiones anteriores a WebAccess 8.1. Se recomienda actualizar a dicha versión o superior.

Más información:

Advantech WebAccess Vulnerabilities Advisory (ICSA-16-014-01)
https://ics-cert.us-cert.gov/advisories/ICSA-16-014-01

Advantech WebAccess
http://www.advantech.com/industrial-automation/webaccess




Juan Sánchez
jasanchez@hispasec.com



Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017