FlagSábado, 20 Abril 2019

Información de valor para integradores de Seguridad Electrónica y Ciberseguridad

 

 

scada

 

Tenable Research ha descubierto una vulnerabilidad de ejecución remota de código (RCE) no autenticada en InduSoft Web Studio 8.1.2.0. ICS-CERT ha asignado CVE-2019-6545 y CVE-2019-6543 para esta vulnerabilidad.

Contexto
InduSoft Web Studio es una herramienta de automatización para sistemas de interfaz hombre-máquina (HMI) y control de supervisión y adquisición de datos (SCADA). Según su sitio web, Web Studio se utiliza en instalaciones de petróleo y gas, empaques, energía eólica, solar y de alimentos y bebidas, así como en centros de detención e incluso por un drag racer.

Al explotar esta vulnerabilidad, un atacante puede ejecutar comandos en el sistema de destino dirigiéndolo a buscar un archivo de configuración de base de datos maliciosa (DB.xdc) desde un servidor controlado por un atacante. La falla también podría aprovecharse para comprometer otros sistemas conectados a Web Studio, incluidos OT y TI.

Análisis
La vulnerabilidad es el resultado de que el lenguaje incorporado de Web Studio esté disponible para atacantes remotos no autenticados. El lenguaje incorporado permite a los usuarios ejecutar comandos de nivel de sistema operativo. Un atacante puede ejecutar el lenguaje incorporado enviando un mensaje DBProcessCall correctamente diseñado (comando 66). Con DBProcessCall, el atacante puede hacer que Web Studio cargue un archivo de configuración de base de datos desde un servidor remoto. El archivo de configuración puede contener comandos malintencionados de lenguaje interno que Web Studio ejecutará.

El comando 66 solo requiere permiso 0 para ejecutarse, lo que significa que no requiere autenticación y / o autorización. El ataque funcionaría incluso si la seguridad está habilitada, se establece una contraseña principal y se elimina la cuenta de invitado.


Solución
Aveva ha emitido un boletín de seguridad para esta vulnerabilidad, junto con una actualización de software. Las empresas que ejecutan InduSoft Web Studio deben actualizar su software a InduSoft Web Studio v8.1 SP3 y asegurarse de que estos sistemas críticos no estén expuestos a Internet.

Reconociendo los nuevos vectores de ataque creados por la convergencia de TI y OT, Tenable Research ha centrado gran parte de sus recursos en el software de búsqueda de errores utilizado en infraestructura crítica y sistemas SCADA.