Критические уязвимости в Emerson AMS Device Manager

Исследователи Kaspersky Lab ISC CERT обнаружили критические уязвимости в программном комплексе для оперативного контроля за состоянием технологических активов предприятия AMS Device Manager производства компании Emerson. Успешная эксплуатация этих уязвимостей может привести к выполнению произвольного кода и внедрению вредоносных программ. Уязвимости затрагивают продукты версий с 12.0 по 13.5.

Максимальный уровень опасности (10 баллов по шкале CVSS v.3) получила уязвимость CVE-2018-14804, связанная с некорректным управлением доступом. Данная брешь может быть использована для запуска специально созданного скрипта, который позволяет выполнять произвольный удаленный код.

Вторая уязвимость CVE-2018-14808 позволяет пользователям, не являющимися администраторами, изменять исполняемые файлы и файлы библиотеки на затронутых продуктах. Эта уязвимость получила оценку 8,2 балла.

Для устранения уязвимостей производитель рекомендует установить соответствующие патчи. Кроме того, компания Emerson сообщает, что уязвимость CVE-2018-14808 не может быть проэксплуатирована при использовании белых списков приложений, поскольку они предотвращают перезапись файлов.

Источники: ICS-CERT, Kaspersky Lab ICS CERT