Producent: Emerson, Tridium
Opis Podatności:
DeltaV:
- CVE-2018-14797 – atakujący mógł dodać specjalnie przygotowaną bibliotekę dll do zmiennej środowiskowej PATH, przez co program wczytał ją jako wewnętrzną i poprawną bibliotekę, co mogło skutkować wykonaniem dowolnego kodu
- CVE-2018-14795 – niepoprawne sprawdzenie ścieżki pozwalało atakującemu na podmianę plików wykonywalnych
- CVE-2018-14791– użytkownicy bez uprawnień administratora, mogli zmieniać pliki wykonywalne lub pliki bibliotek
- CVE-2018-14793 – otwarty port, mógł zostać wykorzystany do zdalnego wykonania kodu na podatnym urządzeniu
Niagara:
- CVE-2017-16744 – podatność typu “path traversal” oprogramowania dla systemu Microsoft Windows
- CVE-2017-16748 – atakujący mógł zalogować się do lokalnej platformy Niagara używając nazwy wyłączonego konta i pustego hasła, zyskując dostęp z uprawnieniami administratora
Produkty, których dotyczą podatności:
- DeltaV: v11.3.1, v12.3.1, v13.3.0, v13.3.1, R5
- Niagara AX Framework wersja 3.8 i wcześniejsze
- Niagara 4 Framework wersja 4.4 i wcześniejsze
Więcej informacji:
https://ics-cert.us-cert.gov/advisories/ICSA-18-228-01
https://ics-cert.us-cert.gov/advisories/ICSA-18-191-03
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny