CVE ID | CVE-2023-0956 |
Data publikacji | 03 sierpnia 2023 |
Producent podatnego oprogramowania | TEL-STER sp. z o. o. |
Nazwa podatnego oprogramowania | TelWin WebInterface |
Podatne wersje | od 3.2 do 6.1, od 7.0 do 7.1, 8.0, 9.0 |
Typ podatności (CWE) | Path Traversal (CWE-35) |
Źródło zgłoszenia | Badania własne |
Opis podatności
CERT Polska w ramach badań własnych znalazł podatność typu Path Traversal w module WebInterface systemu TelWin SCADA firmy TEL-STER sp. z o. o. podatne są następujące wersje: od 3.2 do 6.1, od 7.0 do 7.1, 8.0, 9.0.
Wykryta podatność pozwala na odczyt plików systemowych z uprawnieniami webservera przez dowolną osobę z dostępem sieciowym do aplikacji. Oznacza to możliwość pozyskania plików konfiguracyjnych, kodu źródłowego aplikacji oraz wrażliwych plików systemowych. Do wykorzystania podatności wystarczy wysłanie do serwera odpowiednio spreparowanego żądania typu GET. Nie jest wymagane uwierzytelnianie do aplikacji. Podatność została znaleziona przez pracownika CERT Polska i według posiadanych przez nas informacji nie jest ona jeszcze publicznie znana ani wykorzystywana do ataków. Należy jednak zaznaczyć, że w momencie publikacji informacji o błędzie mogą pojawić się próby wykorzystania podatności, w szczególności na systemach dostępnych z internetu.
Rekomendacje
- Upewnienie się, że dostęp sieciowy do aplikacji jest ograniczony do niezbędnego minimum. W szczególności system nigdy nie powinien być wystawiony bezpośrednio do internetu. Jeśli potrzebny jest dostęp zdalny powinno to być zrealizowane za pomocą VPN-a z dwuskładnikowym uwierzytelnianiem.
- Aktualizację modułu WebInterface do wersji naprawiającej błąd (6.2, 7.2, 8.1, 9.1, lub 10.0) w najbliższym możliwym terminie. W przypadku używania wersji bez wsparcia dla poprawek zalecamy aktualizację do wersji posiadającej takie wsparcie. Należy zaznaczyć, że moduł jest aktualizowany zazwyczaj razem z główną wersją oprogramowania TelWin SCADA – najnowsza wersja to 7.14. Dodatkowe informacje można znaleźć na stronie producenta.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.