Vulnerabilidad de ejecución de código en myPRO de mySCADA

Fecha de publicación:

13/09/2017

Importancia:

4 - Alta

Recursos afectados:

La plataforma de gestión HMI / SCADA afectada es:

myPRO versión 7.0.26 y anteriores.

Descripción:

El investigador Karn Ganeshen ha reportado una vulnerabilidad de ruta de búsqueda o elemento sin comillas en dispositivos myPRO de mySCADA. La explotación exitosa de esta vulnerabilidad podría permitir a un usuario local autenticado pero sin privilegios, ejecutar código arbitrario elevando privilegios.

Solución:

mySCADA ha lanzado nuevas versiones que solucionan esta vulnerabilidad. mySCADA recomienda a los usuarios actualizar a la última versión desde la página web:

https://www.myscada.org/download/

Detalle:

La explotación exitosa de la vulnerabilidad de ruta de búsqueda o elemento sin comillas podría permitir a un usuario local autenticado, sin privilegios, ejecutar código arbitrario con mayores privilegios. Permitiendole acceder a otros recuros en otras rutas del dispositivo.

Se ha reservado el identificador CVE-2017-12730 para esta vulnerabilidad.

Referencias:

ICSA-17-255-01

mySCADA Download

Etiquetas:

SCADA

Vulnerabilidad

Accesos corporativos

Vulnerabilidad de ejecución de código en myPRO de mySCADA

Múltiples vulnerabilidades en Philips Clinical Collaboration Platform

Múltiples vulnerabilidades en CodeMeter de Wibu Systems

Vulnerabilidad en WebAccess Node de Advantech

Múltiples vulnerabilidades en codificadores IPTV basados en hardware HiSilicon

Vulnerabilidad en FATEK Automation PLC WinProladder