Uma vulnerabilidade no Advantech WebAccess, um pacote de software baseado num navegador de Internet para human-machine interfaces (HMI) e sistemas SCADA, permite que atacantes remotos executem comandos com privilégios de administrador nos sistemas vulneráveis (RCE).
A falha (CVE-2017-16720) foi supostamente corrigida, mas investigadores da Tenable afirmam o contrário. O pior é que está disponível um exploit na Internet para explorar a falha há quase seis meses.
Em janeiro de 2018, a Advantech lançou a versão 8.3 do software como forma de corrigir uma variedade de falhas mais ou menos graves, incluindo o CVE-2017-16720. No momento, não havia exploits públicos que visassem especificamente essas vulnerabilidades.
O exploit para o CVE-2017-16720 foi lançado em março. Em maio, investigadores da Tenable descobriram que as versões 8.3 e 8.3.1 (lançadas em janeiro e maio, respectivamente) ainda apresentavam essa falha específica de segurança.
“This vulnerability allows for remote command execution via the Remote Procedure Call (RPC) protocol over TCP port 4592. By utilizing malicious Distributed Computing Environment / Remote Procedure Calls (DCERPC), the webvrpcs.exe service will pass command line instructions to the host,” Tenable explains.
“The webvrpcs.exe service runs with administrator access rights, which means an attacker can take control of an asset at that privilege level.”
O investigador Chris Lyne encontrou 38 instâncias do WebAccess vulneráveis, via Shodan (esse número está reduzido a 33).
“These results certainly don’t represent the total number of WebAccess installations across the globe, but it is clear that the product is being used in at least five countries. Given that this software is used in critical infrastructure sectors (such as critical manufacturing, energy, water and wastewater systems), this type of cyber exposure creates the potential for significant impact,” he noted. So it’s possible that some of those have already been hit with the exploit.
Mais informações sobre a falha, a sua causa raiz e etapas de exploração podem ser encontradas nesta publicação.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.