Producent: AVEVA, WECON, Johnson Controls, Davolink
Opis Podatności:
AVEVA:
- CVE-2015-8277 – przepełnienie bufora w Imgrd i Flexera FlexNet Publisher, pozwalało atakującemu na wykonanie dowolnego kodu poprzez specjalnie przygotowany pakiet, co skutkowało zdalnym wykonaniem kodu z uprawnieniami administratora.
- CVE-2015-9251 – użycie podatnej biblioteki jQuery 3.0.0 lub wersji wcześniejszej, pozwalało atakującemu na przeprowadzenie ataku XSS.
WECON:
- CVE-2018-10602 i CVE-2018-10606 – wiele błędów przepełnienia bufora, które mogą być wykorzystane gdy aplikacja przetwarza specjalnie przygotowane pliki projektu.
Johnson Controls:
- CVE-2018-10624 – błąd spowodowany nieprawidłową obsługą błędów w komunikacji HTTP z serwerem, co pozwalało atakującemu na otrzymanie informacji technicznych.
Davolink:
- CVE-2018-10618 – podatne urządzenie generuje słaby skrót hasła, który jest łatwy do złamania, co pozwala atakującemu na zdalne przechwycenie hasła do urządzenia.
Produkty, których dotyczą podatności:
AVEVA:
- Wonderware License Server v4.0.13100 i wcześniejsze
- InTouch Access Anywhere 2017 Update 2 i wcześniejsze
- Wonderware Information Server 4.0 SP1 i wcześniejsze
- Historian Client 2014 R4 SP2 P02 i wcześniejsze
WECON:
- LeviStudioU, Versions 1.8.29 i 1.8.44
Johnson Controls:
- Metasys System, Versions 8.0 i wcześniejsze
- BCPro (BCM) wszystkie wersje przed 3.0.2
Davolink:
- DVW-3200N wszystkie wersje do 1.00.06
Więcej informacji:
https://ics-cert.us-cert.gov/advisories/ICSA-18-212-05
https://ics-cert.us-cert.gov/advisories/ICSA-18-212-04
https://ics-cert.us-cert.gov/advisories/ICSA-18-212-03
https://ics-cert.us-cert.gov/advisories/ICSA-18-212-02
https://ics-cert.us-cert.gov/advisories/ICSA-18-212-01
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny