Inicio / Alerta Temprana / Avisos Sci / Ejecución remota de código en InduSoft Web Studio e InTouch Edge HMI de AVEVA

Ejecución remota de código en InduSoft Web Studio e InTouch Edge HMI de AVEVA

Fecha de publicación: 
04/02/2019
Importancia: 
5 - Crítica
Recursos afectados: 
  • InduSoft Web Studio, versiones anteriores a la 8.1 SP3
  • InTouch Edge HMI (Touch Machine Edition), versiones anteriores a 2017 Update 3

[Actualización 19/02/2019]

  • Todos los proyectos creados con WinStudio, versiones anteriores a 7.4 SP1
  • Todos los proyectos creados con IndraWorks, versiones anteriores a 15V02
Descripción: 

Tenable ha identificado dos vulnerabilidades de tipo falta de autenticación para función crítica y control inadecuado de identificación de recursos que afectan al software InduSoft Web Studio e InTouch Edge HMI de AVEVA. Un atacante remoto no autenticado podría ejecutar procesos arbitrarios usando ficheros de configuración de conexiones de base de datos especialmente modificados.

Solución: 

AVEVA ha publicado nuevas versiones de software que solucionan estas vulnerabilidades.

  • InduSoft Web Studio, versión 8.1 SP3
  • InTouch Edge HMI (Touch Machine Edition), versión 2017 Update 3

[Actualización 19/02/2019]

Para WinStudio e IndraWorks, los pasos a seguir son:

  • Deshabilitar el servidor TCP/IP.
  • Deshabilitar los puertos 1234 (TCP) o 51234 (TCP).

Adicionalmente, aplicar las medidas descritas en el manual de seguridad de Bosch Rexroth.

Detalle: 
  • Un atacante no autenticado podría usar ficheros de configuración de conexiones de base de datos especialmente modificados para ejecutar procesos en Server Machine con los permisos de software InduSoft Web Studio e InTouch Edge HMI y comprometer el servidor. [Actualización 06/02/2019] Se ha reservado el identificador CVE-2019-6545 para esta vulnerabilidad.
  • [Actualización 06/02/2019] Un atacante podría ejecutar código utilizando los privilegios del programa. Se ha reservado el identificador CVE-2019-6543 para esta vulnerabilidad.

Encuesta valoración