ICS-CERT poinformował o podatności w produktach Advantech, Fuji Electric, 3S-Smart Software Solutions, Rockwell Automation oraz LCDS.

Producent: Advantech

Podatności:

  • CVE-2019-10961 –  przetwarzanie spreparowanych plików MCR, sprawdzających poprawność danych dostarczonych przez użytkownika może umożliwić atakującemu zdalne wykonanie kodu.

Podatne produkty:

  • Advantech WebAccess HMI Designer, wersja 2.1.9.23 i wcześniejsze

Więcej informacji: https://www.us-cert.gov/ics/advisories/icsa-19-213-01

Producent: Fuji Electric

Podatności:

  • CVE-2019-13512 – luka typu “Out-of-bounds Read” umożliwia atakującemu odczytanie informacji z urządzenia.

Podatne produkty:

  • FRENIC Loader, wersja 3.5.0.0 i wcześniejsze

Więcej informacji: https://www.us-cert.gov/ics/advisories/icsa-19-213-02

Producent: 3S-Smart Software Solutions

Podatności:

  • CVE-2019-9010 – brama CODESYS nieprawidłowo weryfikuje własność kanału komunikacyjnego.
  • CVE-2019-9012 – spreparowane żądanie komunikacji może spowodować niekontrolowane przydziały pamięci w produktach CODESYS oraz wywołać stan odmowy usługi.
  • CVE-2019-9013 – aplikacja może wykorzystywać szyfrowanie inne niż TLS, co powoduje, że dane uwierzytelniające użytkownika są niedostatecznie chronione.

Podatne produkty:

  • CODESYS V3, wszystkie wersje
    • CODESYS Control for BeagleBone
    • CODESYS Control for emPC-A/iMX6
    • CODESYS Control for IOT2000
    • CODESYS Control for Linux
    • CODESYS Control for PFC100
    • CODESYS Control for PFC200
    • CODESYS Control for Raspberry Pi
    • CODESYS Control RTE V3
    • CODESYS Control RTE V3 (for Beckhoff CX)
    • CODESYS Control Win V3 (also part of the CODESYS Development System setup)
    • CODESYS V3 Simulation Runtime (part of the CODESYS Development System)
    • CODESYS Control V3 Runtime System Toolkit
    • CODESYS HMI V3

Więcej informacji: https://www.us-cert.gov/ics/advisories/icsa-19-213-03

https://www.us-cert.gov/ics/advisories/icsa-19-213-04

Producent: Rockwell Automation

Podatności:

  • CVE-2019-13510 – spreparowany plik aplikacji otwarty przez nieświadomego użytkownika może spowodować awarię urządzenia lub wykonanie dowolnego kodu.
  • CVE-2019-13511 – spreparowany plik aplikacji otwarty przez nieświadomego użytkownika może umożliwić ujawnienie informacji.

Podatne produkty:

  • Arena Simulation Software for Manufacturing, Cat. 9502-Ax, wersja, 16.00.00 i wcześniejsze

Więcej informacji: https://www.us-cert.gov/ics/advisories/icsa-19-213-05

Producent: Leão Consultoria e Desenvolvimento de Sistemas (LCDS)

Podatności:

  • CVE-2019-10994 – przetwarzanie spreparowanego pliku projektu może umożliwić atakującemu uzyskanie poufnych informacji.
  • CVE-2019-10980 – przetwarzanie spreparowanego pliku projektu może umożliwić atakującemu zdalne wykonanie kodu.

Podatne produkty:

  • LAquis SCADA, wersja 4.3.1.71

Więcej informacji: https://www.us-cert.gov/ics/advisories/icsa-19-213-06