ICS-CERT poinformował o podatności w produktach Telecrane, Advantech oraz GAIN Electronic.

Podatności:

  • CVE-2018-17935 – może prowadzić do nieautoryzowanego powtórzenia polecenia lub podszycia się w wiadomości.
  • CVE-2018-17903 – powtarzanie i fałszowanie poleceń.
  • CVE-2018-17921 – umożliwia atakującemu wymuszenie parowania urządzenia bez interakcji innych użytkowników.
  • CVE-2018-17923 – atakujący z fizycznym dostępem ma możliwość przeprogramowania urządzenia.
  • CVE-2018-14816 – umożliwia wykonanie kodu poprzez przepełnienie bufora na stosie.
  • CVE-2018-14820 – podatność w bibliotekach dll pozwala na usunięcie dowolnego pliku.
  • CVE-2018-14806 – luka w zarządzaniu uprawnieniami pozwala na dostęp do plików i wykonywania działań z uprawnieniami administratora.

Podatne produkty:

  • Telecrane F25 Series wersje wcześniejsze niż 00.0A
  • GAIN Electronic Co. Ltd SAGA1-L8B: firmware – wszystkie wersje wcześniejsze niż A0.10
  • Advantech WebAccess wersje 8.3.1 i wcześniejsze.

Więcej informacji:
https://ics-cert.us-cert.gov/advisories/ICSA-18-296-01
https://ics-cert.us-cert.gov/advisories/ICSA-18-296-02
https://ics-cert.us-cert.gov/advisories/ICSA-18-296-03