17 июля 2016

[уязвимость] Исправлены две опасные уязвимости в АСУ-ТП Advantech WebAccess

Компания выпустила исправление безопасности, устраняющее уязвимости выполнения произвольного кода.
WebAccess является интерфейсом удаленного управления АСУ-ТП системами с помощью браузера. Advantech WebAccess (ранее BroadWin WebAccess) широко используется в коммерческих компаниях, а также на критически-важных предприятиях в сфере энергетики и производства.

Обнаруженные уязвимости позволяют злоумышленнику выполнить произвольный код на целевой системе. Уязвимость CVE-2016-4525 относится к ошибке в ActiveX компоненте, помеченном как безопасный для выполнения сценариев. Удаленный пользователь может с помощью специально сформированного Web сайта выполнить произвольные команды на системе с привилегиями пользователя.

Вторая уязвимость CVE-2016-4528 существует из-за небезопасной загрузки .dll файлов. Злоумышленник может с помощью социальной инженерии заставить пользователя запустить приложение из директории, содержащей специально сформированный .dll файл и выполнить произвольный код на целевой системе.

В бюллетене на сайте ICS-CERT обе уязвимости помечены как локально эксплуатируемые. Однако, согласно описанию уязвимостей и существующим техникам эксплуатации подобных брешей, обе уязвимости могут эксплуатироваться удаленно.
Для устранения уязвимости установите исправленную версию WebAccess versions prior to 8.1_20160519.

Источник: Securitylab.ru