Múltiples vulnerabilidades en Advantech WebAccess/SCADA

Fecha de publicación: 18/06/2021

Importancia:
Alta

Recursos afectados:

WebAccess/SCADA, versión 9.0.1 y anteriores.

Descripción:

Chizuru Toyama, investigador de TXOne IoT/ICS Security Research Labs, en colaboración con ZDI de Trend Micro, ha detectado 2 vulnerabilidades, una de severidad alta y otra media, que podrían permitir a un atacante leer archivos fuera del directorio previsto o redirigir a un usuario a una página web maliciosa.

Solución:

Advantech es consciente de estas vulnerabilidades y actualmente está desarrollando una solución. Para más información, contactar con Advantech a través de la web o vía telefónica (1-888-576-9668).

Hasta entonces, es recomendable aplicar las medidas de mitigación descritas en el apartado 4 del aviso del CISA.

Detalle:

• WebAccess/SCADA es vulnerable a la redirección, lo que podría permitir a un atacante enviar una URL maliciosa con el objetivo de redirigir a un usuario a una página web arbitraria. Se ha asignado el identificador CVE-2021-32956 para esta vulnerabilidad alta.
• Una limitación incorrecta de nombre de ruta relativa a un directorio restringido (relative path traversal) podría permitir a un atacante remoto leer archivos arbitrarios en el sistema de archivos. Se ha asignado el identificador CVE-2021-32954 para esta vulnerabilidad media.

Etiquetas:
Infraestructuras críticas, IoT, SCADA, Vulnerabilidad