Uma vulnerabilidade no Advantech WebAccess, um pacote de software baseado num navegador para interfaces HMI e SCADA continua vulnerável a RCE.

Uma vulnerabilidade no Advantech WebAccess, um pacote de software baseado num navegador de Internet para human-machine interfaces (HMI) e sistemas SCADA, permite que atacantes remotos executem comandos com privilégios de administrador nos sistemas vulneráveis (RCE).

A falha (CVE-2017-16720)  foi supostamente corrigida, mas investigadores da Tenable afirmam o contrário. O pior é que está disponível um exploit na Internet para explorar a falha há quase seis meses.

Em janeiro de 2018, a Advantech lançou a versão 8.3 do software como forma de corrigir uma variedade de falhas mais ou menos graves, incluindo o CVE-2017-16720. No momento, não havia exploits públicos  que visassem especificamente essas vulnerabilidades.

O exploit para o CVE-2017-16720 foi lançado em março. Em maio, investigadores da Tenable descobriram que as versões 8.3 e 8.3.1 (lançadas em janeiro e maio, respectivamente) ainda apresentavam essa falha específica de segurança.

A Advantech lançou a versão 8.3.2 do pacote e, mais uma vez, a falha permaneceu explorável.

 

“This vulnerability allows for remote command execution via the Remote Procedure Call (RPC) protocol over TCP port 4592. By utilizing malicious Distributed Computing Environment / Remote Procedure Calls (DCERPC), the webvrpcs.exe service will pass command line instructions to the host,” Tenable explains.

“The webvrpcs.exe service runs with administrator access rights, which means an attacker can take control of an asset at that privilege level.”

 

O investigador Chris Lyne encontrou 38 instâncias do WebAccess vulneráveis, via Shodan (esse número está reduzido a 33).

“These results certainly don’t represent the total number of WebAccess installations across the globe, but it is clear that the product is being used in at least five countries. Given that this software is used in critical infrastructure sectors (such as critical manufacturing, energy, water and wastewater systems), this type of cyber exposure creates the potential for significant impact,” he noted. So it’s possible that some of those have already been hit with the exploit.

 

Mais informações sobre a falha, a sua causa raiz e etapas de exploração podem ser encontradas nesta publicação.