Воспользовавшись уязвимостью, атакующий с низкими привилегиями может получить доступ к учетным данным для аккаунта ArchestrA.
Производитель инженерного и промышленного программного обеспечения компания AVEVAисправилауязвимость в системной платформе Wonderware System Platform, позволяющей получить учетные данные для сетевого аккаунта ArchestrA.
Wonderware System Platform использует учетную запись ArchestrA для аутентификации системных процессов и междоузловых коммуникаций. Проблема связана с API, с помощью которого пользователь с низкими привилегиями может получить доступ к учетным данным для сетевого аккаунта.
Уязвимости подвержены версии Wonderware System Platform 2017 Update 2 и более ранние. Багу присвоен идентификатор CVE-2019-6525, степень его опасности оценивается в 8,8 балла по шкале CVSS v3. Проблема исправлена в версии Wonderware System Platform 2017 Update 3.
В настоящее время нет сведений о случаях эксплуатации данной уязвимости злоумышленниками.
Системная платформа Wonderware — масштабируемая программная платформа для программных решений, ориентированных на задачи производственной автоматизации и инженерного персонала, включая SCADA, HMI диспетчерского управления (Supervisory), системы оперативного управления производством (MES) и инструменты организации интеллектуального производства на предприятии (EMI).
Подробнее:https://www.securitylab.ru/news/497710.php