Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en InduSoft Web Studio e InTouch Edge HMI de AVEVA

Múltiples vulnerabilidades en InduSoft Web Studio e InTouch Edge HMI de AVEVA

Fecha de publicación: 
02/11/2018
Importancia: 
5 - Crítica
Recursos afectados: 
  • InduSoft Web Studio todas las versiones anteriores a 8.1 SP2.
  • InTouch Edge HMI (antes InTouch Machine Edition) todas las versiones anteriores a 2017 SP2.

[Actualización 28/11/2018]:

La herarmientas de software IndraWorks y WinStudio de Bosch Rexroth utilizadas para el desarrollo de aplicaciones de visualización incluyen tecnología de InduSoft Web Studio cuyo proveedor es AVEVA. La vulnerabilidad afecta a todos los proyectos creados con:

  • WinStudio versiones 7.4 SP1 y anteriores.
  • IndraWorks versiones 15V02 y anteriores.
Descripción: 

Tenable ha reportado estas vulnerabilidades de tipo desbordamiento de búfer y ausencia de contraseña en fichero de configuración. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante la ejecución remota de código.

Solución: 

AVEVA recomienda a los usuarios afectados actualizar InduSoft Web Studio a la versión 8.1 SP2 y InTouch Edge HMi a la versión 2017 SP2. Dichas actualizaciones pueden ser descargadas desde el Global Customer Support en el área Software Download o a través de los siguientes enlaces:

[Actualización 28/11/2018]:

Se recomienda a los usuarios de los productos Bosch afectados, revisar los proyectos existentes de WinStudio y establecer una contraseña segura para:

  • El proyecto maestro.
  • La cuenta integrada, denominada de forma predeterminada Guest (invitado).
  • Para todas las demás cuentas no incorporadas.

En futuras versiones de WinStudio 7.4 SP1 y de IndraWorks 15V02 esta configuración se incluirá por defecto para proyectos nuevos.

Detalle: 
  • Desbordamiento de búfer: un atacante remoto podría enviar un paquete especialmente diseñado que podría provocar un desbordamiento de búfer durante las acciones relacionadas con etiquetas, alarmas o eventos, como lecturas y escrituras, pudiendo llegar a ejecutarse código. Si no se ha habilitado la seguridad de comunicaciones remotas en InduSoft Web Studio o no se utiliza contraseña, un atacante podría enviar un paquete especialmente diseñado para invocar un proceso arbitrario, pudiendo llegar también a ejecutarse código. El código, que se ejecutaría bajo los privilegios del proceso en ejecución de InduSoft Web Studio o InTouch Edge HMI podría comprometer ambos equipos. Se ha asignado el identificador CVE-2018-17916 para esta vulnerabilidad.
  • Ausencia de contraseña en fichero de configuración: esta vulnerabilidad podría permitir a un atacante remoto sin autenticación la ejecución de código de manera remota con los mismos privilegios que el proceso en ejecución de InduSoft Web Studio o InTouch Edge HMI. Se ha asignado el identificador CVE-2018-17914 para esta vulnerabilidad.

Encuesta valoración