Ejecución de comandos arbitrarios en productos AVEVA

Fecha de publicación:

06/05/2022

Importancia:

4 - Alta

Recursos afectados:

Todas las versiones de:

AVEVA™ InTouch Access Anywhere,
AVEVA™ Plant SCADA Access Anywhere.

Descripción:

Giovanni Delvecchio, investigador de Aceaspa, ha descubierto y notificado una vulnerabilidad con severidad alta en productos AVEVA, que podría permitir la ejecución de comandos arbitrarios del sistema operativo.

Solución:

Los clientes que utilizan los productos de AVEVA afectados deben seguir las medidas de mitigación descritas en la sección Mitigation Steps del aviso del fabricante.

Detalle:

Ciertas funcionalidades de Windows, cuando se activan y se utilizan en combinación con productos AVEVA, podrían dar lugar a una vulnerabilidad que permitiría a un usuario autenticado escapar del contexto de la aplicación transmitida al sistema operativo y ejecutar comandos arbitrarios del sistema operativo.

Referencias:

SECURITY ADVISORY AVEVA-2022-001

ICS Advisory (ICSA-22-130-05) AVEVA InTouch Access Anywhere and Plant SCADA Access Anywhere

Etiquetas:

Infraestructuras críticas

SCADA

Vulnerabilidad

Windows

Accesos corporativos

Ejecución de comandos arbitrarios en productos AVEVA

Inyección de comandos en Altenergy Power System Control Software de APsystems

Credenciales por defecto en ABB RCCMD

Protección de credenciales insuficiente en KVMS Pro de CP Plus

Múltiples vulnerabilidades en productos de estaciones de automatización de edificios de SAUTER

Múltiples vulnerabilidades en controladores de bomba Osprey de ProPump