Introducción
Sam Hanson de Dragos ha reportado al CISA[1] cuatro vulnerabilidades de severidad crítica en las versiones 2020 R2 SP1 y anteriores del software HMI/SCADA de AVEVA Edge, antes conocido como InduSoft Web Studio[2].
Análisis
Las vulnerabilidades, de importancia crítica y cuya explotación podría permitir a un atacante insertar archivos DLL maliciosos para ejecutar código, han sido registradas con los siguientes identificadores:
CVE-2016-2542: Un atacante con acceso al sistema de archivos podría ejecutar código arbitrario y la escalada de privilegios al engañar al paquete InstallShield de AVEVA Edge para que cargue una DLL no segura.
CVE-2021-42796: Un actor malicioso podría escanear la red interna y exponer información confidencial del dispositivo.
CVE-2021-42794:La vulnerabilidad permite la ejecución de comandos arbitrarios no autenticados con el contexto de seguridad del proceso StADOSvr.exe. En la mayoría de los casos, será una cuenta de usuario con privilegios estándar con la que se inició el tiempo de ejecución de AVEVA Edge.
CVE-2021-42797: Un actor no autenticado, podría engañar al AVEVA Edge runtime para que revele un token de acceso de Windows de la cuenta de usuario configurada para acceder a recursos de base de datos externos.
Recomendaciones
AVEVA aconseja que las organizaciones evalúen el impacto de estas vulnerabilidades en función del sistema operativo, la arquitectura y las implementaciones de productos, de la misma manera recomienda aplicar la actualización 2020 R2 SP2[3] lo antes posible y restringir el acceso al puerto TCP/3997.
Referencias
[1] ICS Advisory (ICSA-22-326-01 ) AVEVA Edge[2] Boletín de seguridad de AVEVA Edge
[3] AVEVA Edge 2020 R2 SP2