Три опасные уязвимости в программном продукте SCADA WebAccess компании Advantech обнаружили специалисты сингапурской компании Attila Cybertech. Баги позволяют киберпреступнику обойти систему авторизации приложения, а также осуществить внедрение стороннего кода в SQL-запрос. Исследователи сообщили разработчику решения о выявленных проблемах, и вендор закрыл бреши, выпустив патч.

Уязвимость затронула WebAccess версии 8.3 для систем SCADA, предназначенных для контроля промышленных датчиков и других объектов производственной инфраструктуры с использованием веб-интерфейса. Продукт обеспечивает удаленный доступ к устройствам через браузер и кроссплатформенный анализ данных при помощи единой панели управления.

Как выяснили специалисты, ошибки в системе авторизации позволяют злоумышленнику дистанционно обойти процедуры идентификации пользователя и загрузить в систему вредоносные данные. CVE-2019-6519 получила критический рейтинг опасности — эксперты оценили ее в 9,8 балла по шкале CVSS. Другая брешь, также связанная с механизмом аутентификации, допускает несанкционированный доступ к хранящимся в программе данным и внесение в них изменений. Уязвимость зарегистрирована как CVE-2019-6521 с оценкой 8,6 балла CVSS.

Третий баг представляется менее опасным. Исследователи обнаружили, что программа WebAccess для диспетчерских систем SCADA некорректно обрабатывает данные, передаваемые ей в качестве параметров SQL-запроса. В результате атакующий может передать приложению нелегитимную команду, которая при определенных условиях будет выполнена. Специалисты оценили уровень угрозы CVE-2019-6523 как средний и выставили уязвимости 5,3 балла. Все три бреши допускают удаленную эксплуатацию и не требуют высокой квалификации нападающего.

Все обнаруженные ошибки исправлены разработчиком в SCADA WebAccess версии 8.3.5, выпущенной 10 января 2019 года. Предыдущие релизы системы также испытывали проблемы с безопасностью. Так, появившийся в мае прошлого года апдейт 8.3.1 закрывал сразу одиннадцать багов, пять из которых были признаны критическими, а еще три получили высокий рейтинг опасности. В частности, брешь CVE-2018-7505 позволяла неавторизованному злоумышленнику загружать файлы в веб-приложение и выполнить в его среде вредоносный код.

В Центр реагирования на киберугрозы (ICS CERT) правительства США о найденных уязвимостях сообщил эксперт Attila Cybertech Девеш Логендран (Devesh Logendran), который в июне 2016 года взломал твиттер Национальной футбольной лиги США (NFL). Юноша разместил в микроблоге спортивной ассоциации фальшивый пост о смерти ее руководителя Роджера Гуделла (Roger Goodell). За свое преступление Девеш был приговорен сингапурским судом к двум годам лишения свободы условно и после окончания школы стал ИБ-специалистом.

Категории: Уязвимости