Múltiples vulnerabilidades en cliente web Saperion
- SAPERION Web Client version 7.5.2 83166
El investigador Aleksandr Nochvay de Kaspersky Lab ICS CERT ha identificado una vulnerabilidad de severidad crítica y otra de severidad alta en el cliente web Saperion. La explotación remota de cualquiera de estas dos vulnerabilidades podría comprometer el sistema donde se aloje el cliente web vulnerable.
El fabricante ha notificado que versiones más modernas que la afectada, ya no contienen estas vulnerabilidades por lo que se recomienda usar una versión más moderna que la versión 7.5.2 83166.
Desde Kaspersky Lab aconsejan la utilización de un sistema de detección de intrusos y de otros sistemas diseñados para proteger el perímetro de la red en entornos industriales, así como la implementación de herramientas de protección de servidores y aplicaciones web (Web Application Firewall), restringiendo el acceso a la aplicación web vulnerable desde Internet y desde redes adyacentes a la red de ICS.
- Un atacante sin autentificación podría efectuar una ejecución remota de código con el mismo nivel de permisos que el usuario del sistema, en el caso de Windows, o con el privilegio de www-data en los sistemas operativos Linux. El identificador asignado para esta vulnerabilidad crítica es el CVE-2018-6292.
- Un atacante sin autentificación podría conseguir permisos de lectura en ficheros arbitrarios del sistema vulnerable. Se ha reservado el identificador CVE-2018-6293 para esta vulnerabilidad de severidad alta.