Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en VTScada de Trihedral Engineering Limited

Múltiples vulnerabilidades en VTScada de Trihedral Engineering Limited

Fecha de publicación: 
02/11/2017
Importancia: 
4 - Alta
Recursos afectados: 
  • VTScada versiones 11.3.03 y anteriores
Descripción: 

Se han publicado dos vulnerabilidades de severidad alta en VTScada, software de HMI y SCADA, que podrían permitir a un atacante la ejecución de código arbitrario.

Solución: 

Trihedral Engineering Limited recomienda a los usuarios con versiones afectadas que actualicen a la última versión que en el momento de escribir estas líneas es la 11.3.05, que puede obtenerse en esta ubicación.

Detalle: 

Karn Ganeshen y Mark Cross han descubierto las dos vulnerabilidades descritas en este aviso que posteriormente han reportado al ICS-CERT.

  • Control de acceso inadecuado: Un usuario local que no es administrador, tendría privilegios para leer y escribir en el sistema de archivos de la máquina atacada. Se ha reservado el identidicador CVE-2017-14031 para esta vulnerabilidad.
  • Elemento no controlado en la ruta de búsqueda: La aplicación ejecutará ficheros DLL maliciosos especialmente diseñados si se ubican en rutas específicas donde la aplicación espera encontrar los binarios. Se ha reservado el identificador CVE-2017-14029 para esta vulnerabilidad.