Opis podatności

CERT Polska w ramach badań własnych znalazł podatność typu Path Traversal w module WebInterface systemu TelWin SCADA firmy TEL-STER sp. z o. o. podatne są następujące wersje: od 3.2 do 6.1, od 7.0 do 7.1, 8.0, 9.0.

Wykryta podatność pozwala na odczyt plików systemowych z uprawnieniami webservera przez dowolną osobę z dostępem sieciowym do aplikacji. Oznacza to możliwość pozyskania plików konfiguracyjnych, kodu źródłowego aplikacji oraz wrażliwych plików systemowych. Do wykorzystania podatności wystarczy wysłanie do serwera odpowiednio spreparowanego żądania typu GET. Nie jest wymagane uwierzytelnianie do aplikacji. Podatność została znaleziona przez pracownika CERT Polska i według posiadanych przez nas informacji nie jest ona jeszcze publicznie znana ani wykorzystywana do ataków. Należy jednak zaznaczyć, że w momencie publikacji informacji o błędzie mogą pojawić się próby wykorzystania podatności, w szczególności na systemach dostępnych z internetu.

Rekomendacje

1. Upewnienie się, że dostęp sieciowy do aplikacji jest ograniczony do niezbędnego minimum. W szczególności system nigdy nie powinien być wystawiony bezpośrednio do internetu. Jeśli potrzebny jest dostęp zdalny powinno to być zrealizowane za pomocą VPN-a z dwuskładnikowym uwierzytelnianiem.
2. Aktualizację modułu WebInterface do wersji naprawiającej błąd (6.2, 7.2, 8.1, 9.1, lub 10.0) w najbliższym możliwym terminie. W przypadku używania wersji bez wsparcia dla poprawek zalecamy aktualizację do wersji posiadającej takie wsparcie. Należy zaznaczyć, że moduł jest aktualizowany zazwyczaj razem z główną wersją oprogramowania TelWin SCADA – najnowsza wersja to 7.14. Dodatkowe informacje można znaleźć na stronie producenta.