Vulnerabilidad de ejecución de código en myPRO de mySCADA

Fecha de publicación:

13/09/2017

Importancia:

4 - Alta

Recursos afectados:

La plataforma de gestión HMI / SCADA afectada es:

myPRO versión 7.0.26 y anteriores.

Descripción:

El investigador Karn Ganeshen ha reportado una vulnerabilidad de ruta de búsqueda o elemento sin comillas en dispositivos myPRO de mySCADA. La explotación exitosa de esta vulnerabilidad podría permitir a un usuario local autenticado pero sin privilegios, ejecutar código arbitrario elevando privilegios.

Solución:

mySCADA ha lanzado nuevas versiones que solucionan esta vulnerabilidad. mySCADA recomienda a los usuarios actualizar a la última versión desde la página web:

https://www.myscada.org/download/

Detalle:

La explotación exitosa de la vulnerabilidad de ruta de búsqueda o elemento sin comillas podría permitir a un usuario local autenticado, sin privilegios, ejecutar código arbitrario con mayores privilegios. Permitiendole acceder a otros recuros en otras rutas del dispositivo.

Se ha reservado el identificador CVE-2017-12730 para esta vulnerabilidad.

Referencias:

ICSA-17-255-01

mySCADA Download

Etiquetas:

SCADA

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de ejecución de código en myPRO de mySCADA

Consumo de recursos descontrolado en Touch Panel de las series BTP

Vulnerabilidad en Fuji Electric V-Server Lite

Múltiples vulnerabilidades en FactoryTalk Linx de Rockwell Automation

Consumo de recursos no controlado en Mitsubishi Electric MELSEC iQ-R series

Múliples vulnerabilidades en varios productos de Endress+Hauser