Tenable Research descubrió una vulnerabilidad de ejecución remota de código (RCE) no autenticada en InduSoft Web Studio 8.1.2.0.
InduSoft Web Studio es una herramienta de automatización para sistemas de interfaz hombre-máquina (HMI) y control de supervisión y adquisición de datos (SCADA).
Al explotar esta vulnerabilidad, un atacante puede ejecutar comandos en el sistema de destino dirigiéndolo a buscar un archivo de configuración de base de datos maliciosa (DB.xdc), en un servidor controlado por el ciberdelicuente. La falla también podría aprovecharse para comprometer otros sistemas conectados a Web Studio, incluidos OT y TI.
Las empresas que ejecutan InduSoft Web Studio deben actualizar su software y asegurarse de que estos sistemas críticos no estén expuestos a Internet. Web Studio se utiliza en instalaciones de petróleo y gas, empaques, energía eólica, solar, alimentos y bebidas, así como en centros de detención e incluso por un drag racer.
Cómo analizar
La vulnerabilidad es el resultado de que el lenguaje incorporado de Web Studio esté disponible para atacantes remotos no autenticados. El lenguaje incorporado permite a los usuarios ejecutar comandos de nivel de sistema operativo. De acuerdo Tenable, un atacante puede ejecutar el lenguaje incorporado enviando un mensaje DBProcessCall correctamente diseñado (comando 66).
Con DBProcessCall, el atacante puede hacer que Web Studio cargue un archivo de configuración de base de datos desde un servidor remoto. El archivo de configuración puede contener comandos malintencionados de lenguaje interno que Web Studio ejecutará.
El comando 66 sólo requiere permiso 0 para ejecutarse, lo que significa que no necesita autenticación y/o autorización. El ataque funcionaría incluso si la seguridad está habilitada, se establece una contraseña principal y se elimina la cuenta de invitado.
Recomendación
Aveva difundió un boletín de seguridad para esta vulnerabilidad, junto con una actualización de software. Las empresas que ejecutan InduSoft Web Studio deben actualizar su software a InduSoft Web Studio v8.1 SP3 y asegurarse de que estos sistemas críticos no estén expuestos a Internet.
Reconociendo los nuevos vectores de ataque creados por la convergencia de TI y OT, Tenable Research ha centrado gran parte de sus recursos en el software de búsqueda de errores utilizado en infraestructura crítica y sistemas SCADA.
