Desde Advantech WebAccess han sido reportadas
varias vulnerabilidades por Ilya Karpov de Positive Technologies, Ivan Sanchez,
Andrea Micalizzi, Ariele Caltabiano, Fritz Sands y Steven Seeley entre otros
que podrían permitir a un atacante remoto, subir, crear o borrar archivos
arbitrarios en el sistema de la víctima; denegar acceso a usuarios válidos y
potencialmente ejecutar código arbitrario de forma remota.
Advantech WebAccess es un paquete de software basado en html5 para interfaces HMI (human-machine interfaces) y SCADA. Todas las características comunes de estos dos sistemas son accesibles desde un navegador web estándar. Presenta características como soporte y sistema de ingeniería remota a través de la nube, interface modulable con widgets y APIs, además de soporte para PC, Macs, tablets y otros dispositivos inteligentes.
Recursos afectados
- Estos problemas afectan a versiones anteriores a WebAccess 8.1. Se recomienda actualizar a dicha versión o superior.
- CVE-2016-0851: Un atacante remoto podría valerse de un error de falta de comprobación, lo que podría causar un acceso (lectura o escritura) a memoria fuera de límites. Esto podría ser aprovechado por dicho atacante para provocar una denegación de servicio.
- CVE-2016-0854: Existe un error de validación de restricciones que podría permitir a un atacante remoto subir y sobrescribir ficheros arbitrarios en el sistema.
- CVE-2016-0855: Un atacante remoto podría realizar un ataque de directorio transversal, permitiendo que el directorio virtual pueda ser accesible anónimamente.
- CVE-2016-0856: Un atacante remoto podría ejecutar código arbitrario debido a múltiples errores que podrían provocar desbordamientos de memoria basada en pila.
- CVE-2016-0857: Múltiples errores que podrían provocar desbordamientos de memoria basada en heap, que permitirían a un atacante remoto ejecutar código arbitrario.
- CVE-2016-0858: Existe un error de condición de carrera que podría causar un desbordamiento de memoria. Esto podría ser aprovechado por un atacante remoto para causar una denegación de servicio y potencialmente ejecutar código arbitrario a través de peticiones especialmente manipuladas.
- CVE-2016-0859: Existe un error que podría causar un desbordamiento de enteros en el servicio Kernel. Un atacante remoto podría causar una denegación de servicio o potencialmente ejecutar código arbitrario a través de peticiones RPC especialmente manipuladas.
- CVE-2016-0860: Un atacante remoto podría valerse de un error de desbordamiento de memoria en el subsistema 'BwpAlarm' para causar una denegación de servicio a través de peticiones RPC especialmente manipuladas.
- El resto de problemas, con un impacto de seguridad inferior a las anteriores, se deben a varias vulnerabilidades que permiten ataques de tipo cross-site scripting, cross-site request forgery, inyección SQL, etc. Los CVEs son los siguientes: CVE-2016-0852, CVE-2016-0853, CVE-2015-3948, CVE-2015-3947, CVE-2015-3946, CVE-2015-6467, CVE-2015-3943.
- Advantech WebAccess Vulnerabilities Advisory (ICSA-16-014-01) https://ics-cert.us-cert.gov/advisories/ICSA-16-014-01
- Advantech WebAccess http://www.advantech.com/industrial-automation/webaccess
