Introducció
Sam Hanson de Dragos ha reportat al CISA[1] quatre vulnerabilitats de severitat crítica a les versions 2020 R2 SP1 i anteriors del software HMI/SCADA d’AVEVA Edge, abans conegut com InduSoft Web Studio[2].
Anàlisi
Les vulnerabilitats, d’importància crítica i l’explotació de les quals podria permetre a un atacant inserir arxius DLL maliciosos per executar codi, han estat registrades amb els identificadors següents:
CVE-2016-2542: Un atacant amb accés al sistema de fitxers podria executar codi arbitrari i l’escalada de privilegis en enganyar el paquet InstallShield d’AVEVA Edge perquè carregui una DLL no segura.
CVE-2021-42796: Un actor maliciós podria escanejar la xarxa interna i exposar informació confidencial del dispositiu.
CVE-2021-42794: La vulnerabilitat permet l’execució d’ordres arbitràries no autenticades amb el context de seguretat del procés StADOSvr.exe. En la majoria dels casos, serà un compte d’usuari amb privilegis estàndard amb què es va iniciar el temps d’execució d’AVEVA Edge.
CVE-2021-42797: Un actor no autenticat, podria enganyar l’AVEVA Edge runtime perquè reveli un token d’accés de Windows del compte d’usuari configurat per accedir a recursos de base de dades externs.
Recomanacions
AVEVA aconsella que les organitzacions avaluïn l’impacte d’aquestes vulnerabilitats en funció del sistema operatiu, l’arquitectura i les implementacions de productes, de la mateixa manera recomana aplicar l‟actualització 2020 R2 SP2[3] com més aviat millor i restringir l’accés al port TCP/3997.
Referències
[1] ICS Advisory (ICSA-22-326-01 ) AVEVA Edge[2] Boletín de seguridad de AVEVA Edge
[3] AVEVA Edge 2020 R2 SP2