Múltiples vulnerabilidades en AMS Device Manager de Emerson
- AMS Device Manager versiones de la 12.0 a la 13.5
El investigador Sergy Temnikov de Kaspersky Lab, en colaboración con Emerson, ha reportado varias vulnerabilidades de gestión de privilegios y control de acceso inadecuados.
Emerson recomienda a los usuarios actualizar los productos con la versión 12.0 afectados a la versión 13.5. Los parches están disponibles para los usuarios en:
https://guardian.emersonprocess.com/
La vulnerabilidad CVE-2018-14808 podría no explotarse si se implementara una lista blanca de aplicaciones ya que evitaría que los archivos se sobrescribieran.
Para limitar la exposición a ésta y otras vulnerabilidades, Emerson recomienda implementar y configurar AMS Device Manager como está descrito en la guía de instalación de AMS Device Manager que está disponible en el portal de soporte de Emerson Guardian.
- Un atacante remoto podría utilizar un script especialmente diseñado para ejecutar en el software afectado código arbitrario debido a un control de acceso inadecuado. Se ha asignado el identificador CVE-2018-14804 para esta vulnerabilidad.
- Los usuarios que no son administradores pueden cambiar archivos ejecutables y librerías del software afectado aprovechándose de una inadecuada gestión de privilegios. Se ha asignado el identificador CVE-2018-14808 para esta vulnerabilidad.
