Múltiples vulnerabilidades en InduSoft Web Studio e InTouch Edge HMI de AVEVA
- InduSoft Web Studio todas las versiones anteriores a 8.1 SP2.
- InTouch Edge HMI (antes InTouch Machine Edition) todas las versiones anteriores a 2017 SP2.
[Actualización 28/11/2018]:
La herramientas de software IndraWorks y WinStudio de Bosch Rexroth utilizadas para el desarrollo de aplicaciones de visualización incluyen tecnología de InduSoft Web Studio cuyo proveedor es AVEVA. La vulnerabilidad afecta a todos los proyectos creados con:
- WinStudio versiones 7.4 SP1 y anteriores.
- IndraWorks versiones 15V02 y anteriores.
Tenable ha reportado estas vulnerabilidades de tipo desbordamiento de búfer y ausencia de contraseña en fichero de configuración. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante la ejecución remota de código.
AVEVA recomienda a los usuarios afectados actualizar InduSoft Web Studio a la versión 8.1 SP2 y InTouch Edge HMi a la versión 2017 SP2. Dichas actualizaciones pueden ser descargadas desde el Global Customer Support en el área Software Download o a través de los siguientes enlaces:
[Actualización 28/11/2018]:
Se recomienda a los usuarios de los productos Bosch afectados, revisar los proyectos existentes de WinStudio y establecer una contraseña segura para:
- El proyecto maestro.
- La cuenta integrada, denominada de forma predeterminada Guest (invitado).
- Para todas las demás cuentas no incorporadas.
En futuras versiones de WinStudio 7.4 SP1 y de IndraWorks 15V02 esta configuración se incluirá por defecto para proyectos nuevos.
- Desbordamiento de búfer: un atacante remoto podría enviar un paquete especialmente diseñado que podría provocar un desbordamiento de búfer durante las acciones relacionadas con etiquetas, alarmas o eventos, como lecturas y escrituras, pudiendo llegar a ejecutarse código. Si no se ha habilitado la seguridad de comunicaciones remotas en InduSoft Web Studio o no se utiliza contraseña, un atacante podría enviar un paquete especialmente diseñado para invocar un proceso arbitrario, pudiendo llegar también a ejecutarse código. El código, que se ejecutaría bajo los privilegios del proceso en ejecución de InduSoft Web Studio o InTouch Edge HMI podría comprometer ambos equipos. Se ha asignado el identificador CVE-2018-17916 para esta vulnerabilidad.
- Ausencia de contraseña en fichero de configuración: esta vulnerabilidad podría permitir a un atacante remoto sin autenticación la ejecución de código de manera remota con los mismos privilegios que el proceso en ejecución de InduSoft Web Studio o InTouch Edge HMI. Se ha asignado el identificador CVE-2018-17914 para esta vulnerabilidad.
