В Advantech webaccess hmi designer найдено три уязвимости

Стивен Сили (Steven Seeley) из Source Incite сообщил о трех уязвимостях, найденных им в программном пакете для создания человеко-машинных интерфейсов Advantech WebAccess HMI Designer версии 2.1.7.32 и ниже. Брешами, получившими оценку 6,3 балла (средняя опасность) по шкале CVSS v3, можно воспользоваться при помощи специально сформированных pm3-файлов.

Уязвимость CVE-2018-8833 в результате обработки такого документа влечет переполнение буфера. Брешь CVE-2018-8835 связана с двойным высвобождением памяти, а дыра CVE-2018-8837 позволяет с помощью .pm3 вызывать запись за пределами выделенной зоны буфера. Использование любой из этих уязвимостей может привести к удаленному выполнению стороннего кода.

Случаев эксплуатации этих брешей в WebAccess HMI Designer пока не выявлено. Тем не менее американский National Cybersecurity & Communications Integration Center совместно с Advantech уже работает над устранением проблем безопасности в системе человеко-машинного интерфейса.

Пользователям рекомендуется изолировать уязвимые системы от Интернета и корпоративной сети, а удаленное подключение, в случае необходимости, осуществлять через VPN.

Промышленные системы регулярно подвергаются опасности, в том числе из-за незакрытых уязвимостей. Так, недавно эксперты «Лаборатории Касперского» обнаружили 14 брешей в ПО для контроля лицензий. А компания Advantech уже устраняла несколько багов в WebAccess, приводящих к удаленному выполнению кода, в конце 2017 года.