ICS-CERT poinformował o  nowych podatnościach dotyczących oprogramowania SIMATIC WinCC

Producent: Siemens

Produkty: SIMATIC WinCC OA UI Mobile App

Skutki wykorzystania podatności:

  • Może umożliwić dostęp do odczytu i zapisu z jednego folderu pamięci podręcznej HMI do innych folderów pamięci podręcznej HMI w obszarze izolowanym aplikacji na tym samym urządzeniu mobilnym. Luka ta może zostać wykorzystana przez atakującego do nakłonienia użytkownika aplikacji do połączenia się ze złośliwym serwerem WinCC OA.

Opis podatności:

Niewystarczające ograniczenie możliwości skryptu Controll może umożliwić zapis i odczyt z cashu z jednego HMI do drugiego CVE-2018-4844

Lista produktów których dotyczą podatności:

  • SIMATIC WinCC OA UI for Android: All versions prior to V3.15.10
  • SIMATIC WinCC OA UI for IOS: All versions prior to V3.15.10

Zalecenia:

Producent zaleca wykonanie aktualizacji:

  • SIMATIC WinCC OA UI for Android: Update to V3.15.10

https://play.google.com/store/apps/details?id=com.siemens.winccoaui

  • SIMATIC WinCC OA UI for IOS: Update to V3.15.10

https://itunes.apple.com/us/app/simatic-wincc-oa-ui/id1073943068

więcej informacji na temat podatności  znajduję sie pod adresem https://ics-cert.us-cert.gov/advisories/ICSA-18-081-01