وصله‌ی چندین آسیب‌پذیری در Advantech WebAccess

شرکت صنعتی Advantech که در تایوان مستقر است، یک به‌روزرسانی برای محصول WebAccess خود منتشر کرده است تا چندین آسیب‌پذیری از جمله مواردی که دارای درجه‌ی اهمیت بالایی هستند، را این محصول وصله کند.

 

محصول WebAccess شرکت Advantech یک بسته‌ی نرم‌افزاری مبتنی‌بر مرورگر برای رابط‌های انسان و دستگاه (HMI) و سامانه‌های نظارت و کنترل اطلاعات است. طبق گفته‌ی ICS-CERT، این محصول در آمریکا، اروپا، و آسیای شرقی در بخش‌هایی مانند تولیدات حیاتی ، انرژی، و آب و فاضلاب مورد استفاده قرار می‌گیرد.

 

پژوهش‌گران بار دیگر آسیب‌پذیری‌های متعددی را در این محصول رابط انسان و دستگاه، و سامانه‌های نظارت کنترل اطلاعات پیدا کرده‌اند. یکی از این آسیب‌پذیری‌ها که از درجه‌ی اهمیت بالایی بوده و در نمره‌دهی CVSS امتیاز ۸٬۲ را دارد، با شناسه‌ی CVE-2017-16724 ردیابی می‌شود و به عنوان یک سرریز بافر مبتنی‌بر پشته توصیف شده است. این نوع از حفره‌های امنیتی به طور معمول به یک مهاجم اجازه می‌دهند تا برنامه را دچار مشکل کنند و حتی این احتمال وجود دارد که مهاجمان بتوانند کد دلخواه خود را اجرا کنند.

 

شناسه‌ی CVE-2017-16728 به چندین آسیب‌پذیری دسترسی به محتوای یک اشاره‌گر اختصاص داده شده است که می‌توانند برای ایجاد اختلال در این برنامه مورد بهره‌برداری قرار بگیرند.

 

کارشناسان همچنین یک آسیب‌پذیری پیمایش مسیر (path traversal) را شناسایی کرده‌اند که با شناسه‌ی CVE-2017-16720 ردیابی می‌شود و می‌تواند برای دسترسی به پرونده‌های موجود در دستگاه هدف مورد بهره‌برداری قرار بگیرد. آن‌ها همچنین یک آسیب‌پذیری تزریق SQL را نیز کشف کرده‌اند که از عدم ایمن‌سازی مناسب ورودی کاربر ناشی می‌شود؛ به این آسیب‌پذیری شناسه‌ی CVE-2017-16716 اختصاص داده شده است.

 

یک آسیب‌پذیری دیگر با درجه‌ی اهمیت متوسط در این محصول وجود دارد به یک مهاجم اجازه می‌دهد تا با استفاده از ورودی‌های جعلی این محصول را دچار اختلال کند.

 

شرکت Advantech با انتشار WebAccess نسخه‌ی ۸.۳ این آسیب‌پذیری‌ها را وصله کرده است. به گفته‌ی این فروشنده تمام نسخه‌های قبلی تحت تاثیر این اشکالات قرار دارند.

 

در گزارشی که سال گذشته توسط ZDI ترند میکرو منتشر شد، نشان داده شده است که شرکت Advantech به طور متوسط در طی ۱۳۱ روز برای آسیب‌پذیری‌های موجود در محصولات خود وصله منتشر می‌کند، که به طور قابل توجهی در مقایسه با سایر فروشندگان بزرگ سامانه‌های کنترل صنعتی (ICS) بهتر است. ZDI در سال ۲۰۱۷ میلادی برای آسیب‌پذیری‌های محصولات Advantech بیش از ۵۰ مشاوره‌نامه منتشر کرده است که تقریبا نیمی از تمام مشاوره‌نامه‌های منتشر شده را تشکیل می‌دهد.

 

چندین مورد از این آسیب‌پذیری‌‌ها توسط پژوهش‌گرانی به نام‌های Steven Seeley، Zhou Yu، Andrea Micalizzi از طریق ZDI گزارش شده‌اند. ZDI برای این آسیب‌پذیری‌ها مشاوره‌نامه‌هایی را تهیه کرده، اما هنوز آن‌ها را به صورت عمومی منتشر نکرده است. فهرست کارشناسانی که به واسطه‌ی کشف این آسیب‌پذیری‌ها از سوی ICS-CERT معتبر شناخته شده‌اند، همچنین شامل Michael Deplante نیز می‌شود.

 

Seeley همچنین دو آسیب‌پذیری اجرای کد از راه دور را در ماه نوامبر در محصول WebAccess شرکت Advantech پیدا کرده بود.

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید