Global Preloader
Vulnerabilidad
(06/Jan/2018) Vulnerabilidades parcheadas en Advantech WebAccess

Vulnerabilidades parcheadas en Advantech WebAccess

La empresa de automatización industrial con sede en Taiwán, Advantech, lanzó una actualización para su producto WebAccess para abordar varias vulnerabilidades, incluidas aquellas de alta severidad.

Advantech WebAccess es un paquete de software basado en navegador para interfaces hombre-máquina (HMI) y sistemas de supervisión y adquisición de datos (SCADA). Según ICS-CERT, el producto se usa en los Estados Unidos, Europa y Asia oriental en sectores como la fabricación crítica, la energía y el agua y las aguas residuales.

Los investigadores una vez más han encontrado varias vulnerabilidades en este producto HMI / SCADA. Uno de los más graves, basado en su puntaje CVSS de 8.2, es CVE-2017-16724, que se ha descrito como un desbordamiento de búfer basado en la pila. Estos tipos de agujeros de seguridad generalmente permiten que un atacante bloquee la aplicación y posiblemente incluso ejecute código arbitrario.

El identificador CVE-2017-16728 se ha asignado a varias vulnerabilidades de desreferencia de puntero no confiables que pueden aprovecharse para hacer que la aplicación falle.

Los expertos también identificaron una falla de recorrido transversal que puede explotarse para acceder a los archivos en el dispositivo de destino (CVE-2017-16720) y una vulnerabilidad de inyección de SQL causada por la falta de desinfección adecuada de la entrada del usuario (CVE-2017-16716).

La debilidad menos grave, clasificada como gravedad media, permite que un atacante bloquee la aplicación utilizando entradas especialmente diseñadas.

Las vulnerabilidades han sido corregidas por Advantech con el lanzamiento de WebAccess 8.3. El vendedor dice que todas las versiones anteriores se ven afectadas.

Un informe publicado el año pasado por Zero Day Initiative (ZDI) de Trend Micro demostró que Advantech tardó 131 días en parchear las vulnerabilidades, lo que fue significativamente mejor en comparación con muchos otros proveedores importantes de ICS. ZDI publicó más de 50 avisos para las vulnerabilidades de Advantech en 2017, que fue aproximadamente la mitad del número publicado en el año anterior .

Varios de los defectos fueron reportados a través de ZDI por los investigadores Steven Seeley, Zhou Yu y Andrea Micalizzi. ZDI ha preparado avisos para las vulnerabilidades, pero todavía tiene que hacerlos públicos. La lista de expertos acreditados por ICS-CERT para encontrar los defectos también incluye a Michael Deplante.

Seeley también recibió crédito por encontrar dos vulnerabilidades de ejecución remota de código en Advantech WebAccess en noviembre.