Se han reportado varias vulnerabilidades en Advantech WebAccess que podrían permitir a un atacante remoto, subir, crear o borrar archivos arbitrarios en el sistema de la víctima; denegar acceso a usuarios válidos y potencialmente ejecutar código arbitrario de forma remota.
Advantech WebAccess es un paquete de software basado en html5 para interfaces HMI (human-machine interfaces) y SCADA. Todas las características comunes de estos dos sistemas son accesibles desde un navegador web estándar. Presenta características como soporte y sistema de ingeniería remota a través de la nube, interface modulable con widgets y APIs, además de soporte para PC, Macs, tablets y otros dispositivos inteligentes.
Resumen de los problemas resueltos, por CVE e importancia:
-
CVE-2016-0851: Un atacante remoto podría valerse de un error de falta de comprobación, lo que podría causar un acceso (lectura o escritura) a memoria fuera de límites. Esto podría ser aprovechado por dicho atacante para provocar una denegación de servicio.
-
CVE-2016-0854: Existe un error de validación de restricciones que podría permitir a un atacante remoto subir y sobrescribir ficheros arbitrarios en el sistema.
-
CVE-2016-0855: Un atacante remoto podría realizar un ataque de directorio transversal, permitiendo que el directorio virtual pueda ser accesible anónimamente.
-
CVE-2016-0856: Un atacante remoto podría ejecutar código arbitrario debido a múltiples errores que podrían provocar desbordamientos de memoria basada en pila.
-
CVE-2016-0857: Múltiples errores que podrían provocar desbordamientos de memoria basada en heap, que permitirían a un atacante remoto ejecutar código arbitrario.
-
CVE-2016-0858: Existe un error de condición de carrera que podría causar un desbordamiento de memoria. Esto podría ser aprovechado por un atacante remoto para causar una denegación de servicio y potencialmente ejecutar código arbitrario a través de peticiones especialmente manipuladas.
-
CVE-2016-0859: Existe un error que podría causar un desbordamiento de enteros en el servicio Kernel. Un atacante remoto podría causar una denegación de servicio o potencialmente ejecutar código arbitrario a través de peticiones RPC especialmente manipuladas.
-
CVE-2016-0860: Un atacante remoto podría valerse de un error de desbordamiento de memoria en el subsistema ‘BwpAlarm‘ para causar una denegación de servicio a través de peticiones RPC especialmente manipuladas.
- El resto de problemas, con un impacto de seguridad inferior a las anteriores, se deben a varias vulnerabilidades que permiten ataques de tipo cross-site scripting, cross-site request forgery, inyección SQL, etc. Los CVEs son los siguientes: CVE-2016-0852, CVE-2016-0853, CVE-2015-3948, CVE-2015-3947, CVE-2015-3946, CVE-2015-6467, CVE-2015-3943.
Estas vulnerabilidades han sido reportadas por Ilya Karpov de Positive Technologies, Ivan Sanchez, Andrea Micalizzi, Ariele Caltabiano, Fritz Sands y Steven Seeley entre otros.
Estos problemas afectan a versiones anteriores a WebAccess 8.1. Se recomienda actualizar a dicha versión o superior.
Más información:
Advantech WebAccess Vulnerabilities Advisory (ICSA-16-014-01)
Advantech WebAccess
Juan Sánchez
