В контроллерах Emerson Ovation выявлены опасные уязвимости

В оборудовании для АСУ ТП производства компании Emerson обнаружены уязвимости переполнения буфера, предоставляющие потенциальную возможность повысить привилегии, удаленно выполнить код или нарушить работу устройства.

Проблемы затрагивают контроллеры Emerson Ovation OCR400 (версия 3.3.1 и ниже). Как уточняется в предупреждении ICS-CERT, баги содержатся в стороннем FTP-сервере, реализованном в продукте. Данная версия ПО не поддерживается производителем с 2015 года.

Первая проблема (CVE-2019-10965) представляет собой уязвимость переполнения буфера стека. Баг существует из-за некорректной обработки LIST команд, что может привести к перезаписи буфера и, как результат, возможности удаленно выполнить код или повысить права.

Вторая проблема (CVE-2019-10967) - уязвимость переполнения буфера в области данных кучи, которая связана с некорректной обработкой команд, отправленных FTP-серверу. Это может привести к повреждению памяти, что позволит нарушить работу контроллера либо удаленно выполнить код или повысить привилегии.

Опасность уязвимостей оценена в 6,3 и 6,8 балла соответственно по шкале CVSS v3. Для их эксплуатации не требуются особые навыки. Пользователям уязвимых продуктов рекомендуется обновиться до более новых версий ПО.

Источник:securitylab.ru