Компания Advantech сообщила о выходе обновления для программного комплекса промышленной автоматизации WebAccess. В версии 8.3.1 производитель исправил более десятка уязвимостей, почти половина из которых — критические.

Самыми опасными признаны:

Эти баги получили практически максимальную оценку по шкале CVSS — 9,8 из 10 баллов — и могут использоваться для удаленного выполнения произвольного кода. Немного не дотягивают до них бреши в управлении привилегиями (8,4 балла CVSS), внешний контроль имени файла (7,5 баллов), удаленный поиск скрытых файлов через каталог (7,5 баллов). Эти бреши могут дать преступнику доступ к конфиденциальной информации или модификации и удалению файлов.

Поскольку WebAccess для человеко-машинных интерфейсов HMI и систем диспетчерского управления SCADA используется в энергетической и других важных отраслях производства, вмешательство злоумышленников в управление промышленной автоматизацией может представлять угрозу для жизни и здоровья людей. Согласно данным ICS-CERT, ошибки имеются в версиях:

  • WebAccess V8.2_20170817 и ниже
  • WebAccess V8.3.0 и раньше
  • WebAccess Dashboard V.2.0.15 и ниже
  • WebAccess Scada Node вплоть до3.1
  • WebAccess NMS0.3 и раньше

Рекомендуется срочно обновить их до исправленной WebAccess 8.3.1.

Уязвимости в WebAccess обнаружили исследователи Мэтт Пауэлл (Mat Powell), Стивен Сили (Steven Seeley), Донато и Симон Онофри (Donato and Simone Onofri). Большинство ошибок найдено в рамках инициативы Zero Day. Ранее благодаря этой программе производитель закрыл несколько брешей в своем продукте WebAccess HMI Designer. В прошлогоднем отчете «Нулевого дня» эксперты отметили, что компания Advantech потратила на исправление уязвимостей порядка 131 дня, и этот показатель лучше, чем у многих других серьезных поставщиков ICS.

Категории: Уязвимости