ICS-CERT poinformował o nowych podatnościach dotyczących oprogramowania SIMATIC WinCC
Producent: Siemens
Produkty: SIMATIC WinCC OA UI Mobile App
Skutki wykorzystania podatności:
- Może umożliwić dostęp do odczytu i zapisu z jednego folderu pamięci podręcznej HMI do innych folderów pamięci podręcznej HMI w obszarze izolowanym aplikacji na tym samym urządzeniu mobilnym. Luka ta może zostać wykorzystana przez atakującego do nakłonienia użytkownika aplikacji do połączenia się ze złośliwym serwerem WinCC OA.
Opis podatności:
Niewystarczające ograniczenie możliwości skryptu Controll może umożliwić zapis i odczyt z cashu z jednego HMI do drugiego CVE-2018-4844
Lista produktów których dotyczą podatności:
- SIMATIC WinCC OA UI for Android: All versions prior to V3.15.10
- SIMATIC WinCC OA UI for IOS: All versions prior to V3.15.10
Zalecenia:
Producent zaleca wykonanie aktualizacji:
- SIMATIC WinCC OA UI for Android: Update to V3.15.10
https://play.google.com/store/apps/details?id=com.siemens.winccoaui
- SIMATIC WinCC OA UI for IOS: Update to V3.15.10
https://itunes.apple.com/us/app/simatic-wincc-oa-ui/id1073943068
więcej informacji na temat podatności znajduję sie pod adresem https://ics-cert.us-cert.gov/advisories/ICSA-18-081-01
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny