Des défauts de sévérité élevés remis dans le logiciel Trihedral SCADA


Une mise à jour publiée par Trihedral pour ses produits VTScada remit plusieurs vulnérabilités, y compris des faiblesses de gravité élevée qui peuvent être exploitées même par des pirates mal qualifiés.

VTScada, le produit phare de Trihedral, est une suite logicielle conçue pour créer des interfaces homme-machine (IHM) pour les systèmes de contrôle de supervision et d'acquisition de données (SCADA). Le produit est utilisé dans diverses industries, principalement en Amérique du Nord et en Europe.

Le chercheur de sécurité Karn Ganeshen a découvert plusieurs vulnérabilités affectant les versions de VTScada avant le 11.2.26. L'expert a déclaré SecurityWeek qu'une recherche Shodan a montré que certains systèmes utilisant VTScada sont accessibles depuis Internet, mais il croit qu'il existe des cas plus vulnérables qui sont exposés aux attaques.

L'un des défauts, suivi sous CVE-2017-6043 et attribué un score CVSS de 7,5, est un problème de déni de service (DoS) qui existe en raison de l'échec du client VTScada à limiter Utilisation des ressources.

Dans un avis publié sur son site Web, Ganeshen a déclaré qu'un attaquant avec un compte non privilégié peut causer une utilisation excessive de la CPU et de la RAM en soumettant une grande charge utile (jusqu'à environ 80 000 caractères) dans le champ Nom d'utilisateur De la fenêtre de connexion.

"Lorsqu'une application complète (ou plusieurs applications dans le scénario de production) est déployée, c'est-à-dire avec une configuration opérationnelle / fonctionnelle, l'utilisation de la mémoire / CPU est notamment supérieure à celle d'un test, une application vierge ", A déclaré l'expert. "La publication répétée d'une entrée de nom d'utilisateur si importante consomme rapidement disponible …

Lire la suite (en anglais)

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (Pas encore de votes)
Loading...

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Font Resize
Contrast
Aller à la barre d’outils