Desbordamiento de pila en WebOP de Advantech

Fecha de publicación:

16/08/2017

Importancia:

3 - Media

Recursos afectados:

Todas las versiones de los paneles de operador de Advantech WebOP están afectadas.

Descripción:

Ariele Caltabiano (kimiya), trabajando con Trend Micro's Zero Day Initiative, ha descubierto una vulnerabilidad en WebOP de Advantech cuya explotación exitosa puede provocar que el dispositivo de destino se bloquee e incluso lograr la ejecución de código arbitrario.

En nivel de habilidad necesario para explotar esta vulnerabilidad es bajo. Existen exploit públicos disponibles.

Solución:

Por el momento no existe una solución a la vulnerabilidad. Se aconseja limitar el uso de la aplicación a ficheros confiables.

Detalle:

Un archivo de proyecto especialmente diseñado maliciosamente puede ser capaz de desencadenar un desbordamiento de búfer basado en heap, que puede bloquear el proceso y permitir a un atacante ejecutar código arbitrario.

Referencias:

Advantech WebOP (ICSA-17-227-01)

Etiquetas:

Infraestructuras críticas

Vulnerabilidad

Accesos corporativos

Desbordamiento de pila en WebOP de Advantech

Múltiples vulnerabilidades en DIAScreen de Delta Electronics

Credenciales embebidas en productos KR C4 de KUKA

Múltiples vulnerabilidades de G-Cam E2 y G-Code de Geutebrück

Denegación de servicio en productos Mitsubishi Electric

Múltiples vulnerabilidades en productos CODESYS