ICS-CERT poinformował o podatności w produktach Advantech oraz GEOVAP.

Podatności:

  • CVE-2018-17908 – podczas instalacji aplikacja wyłącza kontrolę dostępu użytkownika i nie włącza jej ponownie po zakończonej instalacji – umożliwia to atakującemu na wykonanie kodu.
  • CVE-2018-17910 – błąd w sprawdzeniu długości danych dostarczonych przez użytkownika – umożliwia to przepełnienie bufora oraz zdalne wykonanie kodu.
  • CVE-2018-17904 – umożliwia nieautoryzowanemu atakującemu zdalne wykonanie kodu.

Podatne produkty:

  • Advantech WebAccess wersje 8.3.2 i wcześniejsze.
  • GEOVAP Reliance SCADA wersje 4.7.3 i wcześniejsze.

Więcej informacji:
https://ics-cert.us-cert.gov/advisories/ICSA-18-298-01
https://ics-cert.us-cert.gov/advisories/ICSA-18-298-02