Biznet BilişimBiznet Bilişim

EnviDAS Ultimate  Yetkisiz Erişim Güvenlik Açığı

Yazar: Can Demirel

CVE: CVE-2017-9625

CVSS: 8.2 (CVSS: 3.0 AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N)

Risk Seviyesi: Kritik

Ürün: EnviDAS Ultimate

Etkilenen Sürümler: 1.0.0.5 Öncesi tüm sürümler

Yama Tarihi: 12 Ekim 2017

Raporlayan: Can Demirel, Deniz Çevik

Problem Detayları: Envidas Ultimate kritik altyapılarda emisyon, hava ve su kalitesini izlemek amacıyla kullanılmaktadır. Kötü niyetli saldırganların,  yetkilendirme mekanizmalarındaki hatalardan faydalanarak web tabanlı izleme ve güncelleme yönetim arabirimlerine erişmesi mümkündür. Bu açıklık kullanılarak kritik altyapılardaki hassas verilerin izlenmesi ve değiştirilmesi olasıdır.

Çözüm/Öneri: Belirtilen problem üretici tarafından geliştirilen yama ile giderilmiştir. İlgili yama veya kompansatif kontroller için referans bölümünün incelenmesi önerilmektedir.

Referanslar: https://ics-cert.us-cert.gov/advisories/ICSA-17-285-03

can.demirel
Yazar: can.demirel