7T IGSS SCADA HMI sérülékenységek

CH azonosító

CH-4890

Angol cím

7T IGSS SCADA HMI Denial of Service Vulnerabilities

Felfedezés dátuma

2011.05.10.

Súlyosság

Kritikus

Érintett rendszerek

7-Technologies
IGSS - Interactive Graphical SCADA System

Érintett verziók

7T IGSS SCADA HMI 9.0.0.11083-ast megelőző verziók

Összefoglaló

A 7T IGSS SCADA HMI olyan sérülékenységei váltak ismertté, amelyeket kihasználva a támadók szolgáltatás megtagadást (DoS – Denial of Service) tudnak előidézni vagy feltörhetik a sérülékeny rendszert.

Leírás

  1. Az IGSSdataServer TCP 12401 portján futó szolgáltatás hibája kihasználható verem alapú puffer túlcsordulás előidézésére speciálisan erre a célra szerkesztett kód küldésével erre a sérülékeny portra.
  2. Egy út bejárásos (path traversal) sérülékenység miatt a támadó megismerheti a fájlrendszer strukúráját és fájlokat tölthet fel vagy le azonosítás nélkül.
  3. Az IGSSdataServer TCP 12401 porton futó szolgáltatás formátum sztringet tartalmaz. Ez kihasználható speciálisan erre a célra szerkesztett kód küldésével erre a sérülékeny portra.
  4.  A 12397/TCP porton futó dc.exe szolgáltatás hibáját kihasználva tetszőleges kód futtatható.

Sikeres kihasználás esetén útvonal bejárás végezhető, valamint tetszőleges kód futtatható.

Megoldás

Telepítse a gyártó által kiadott javítást.


Legfrissebb sérülékenységek
CVE-2023-28303 – Windows képmetsző sérülékenysége
CVE-2023-1289 – ImageMagick sérülékenysége
CVE-2023-1050 – Koc Energy Web Report System sérülékenysége
CVE-2022-22512 – VARTA Storage Web-UI sérülékenysége
CVE-2023-25859 – Adobe Illustrator sérülékenysége
CVE-2023-25860 – Adobe Illustrator sérülékenysége
CVE-2023-25861 – Adobe Illustrator sérülékenysége
CVE-2023-26358 – Adobe Creative Cloud sérülékenysége
CVE-2023-26426 – Adobe Illustrator sérülékenysége
CVE-2023-27855 – Rockwell Automation's ThinManager ThinServer sérülékenysége
Tovább a sérülékenységekhez »