脸谱网 Google + 推特 LinkedIn YouTube RSS 菜单 搜索 资源——博客 资源-网络研讨会 资源-报告 资源-事件 icons_066 icons_067 icons_068 icons_069 icons_070

Advantech WebAccess / SCADA堆栈缓冲区溢出

至关重要的
←查看更多的研究报告

剧情简介

在开发一个Nessus插件检测cve - 2019 - 3975站得住脚的发现,未经过身份验证的远程堆栈溢出漏洞在Advantech WebAccess / SCADA 8.4.2 BwPAlarm LogInfoFormat函数中存在缺陷。dll由于不当的验证用户提供的数据复制到一个固定大小之前基于堆栈缓冲区在处理一个IOCTL 70533 RPC消息:

。text: 0700674 c ioctl_70533:;代码XREF: _BwRPCPAlarmService + 2 f4b↑j。text: 0700674 c;数据XREF。text: jpt_700672B↓o。text: 0700674 c mov edi (ebp + arg_pInbuf);jumptable 0700672 b案例10533。text: 0700674 f mov [ebp + arg_pOutbuf], esi。text: 07006752推edi。text: 07006753推抵消“字符串”;“BwRpcP_KernelShutdown: % s”。text: 07006758叫LogInfoFormat (char *,…) […][…][…]。text: 07023 e40空白__cdecl LogInfoFormat (char *,…)附近的proc。text: 07023 e40;代码XREF: _BwRPCPAlarmService + 2 f78↑p。text: 07023 e40;_BwRPCPAlarmService + 30 fd↑p。text: 07023 e40。text: 07023 e40 sbuf = -800字节ptr h。text: 07023 = dword ptr 4。text e40格式:07023 e40 Args = 8字节ptr。text: 07023 e40。text: 07023 e40 mov连成一片,[esp +格式]。text: 07023 e44下标esp, 800 h。text: 07023 e4a lea eax, (esp + 800 h + Args);attacker-supplied数据;格式。text: 07023 e4a; string can contain %s, so the data .text:07023E4A ; can overflow the fixed_size, .text:07023E4A ; 0x800-byte stack buffer. .text:07023E51 lea edx, [esp+800h+sbuf] ; 0x800-byte stack buffer .text:07023E55 push eax .text:07023E56 push ecx .text:07023E57 push edx .text:07023E58 call _vsprintf

这里未经过身份验证的远程攻击者可以发送大量数据溢出0 x800-byte堆栈缓冲区函数通过函数。

异常和可利用性Windbg所示:

0:007 > g ModLoad: 005 e0000 005 f0000 C: \ WebAccess \ \ viewsrv节点。dll (de0.c44):访问违例-代码c0000005(第一次)第一次异常报告任何异常处理之前。这个异常可能是预期和处理。eax = 00000001 ebx = 00000001连成一片= 01 e16fb8 edx = 01 e01b4c esi = 00000000 edi = 00000000 eip = 00000000 esp = 0298 eae8 ebp = 0298 f730 iopl = 0 nv了ei pl新西兰na pe数控c = 0023 ss = 002 b d = 002 b es = 002 fs = 0053 gs = 002 b英语= 00010206 41414141 ? ?? ? ?0:007 > kb # ChildEBP RetAddr Args儿童警告:帧IP没有任何已知的模块。后帧可能是错误的。00 0298 eae4 41414141 41414141 41414141 41414141 0 x41414141 01 0298 f730 41414141 a4e x41414141 02 00002925 00000900 00002925 0 0298 f9cc 00402 c75 00878 fd8 02 c920f0 00011385 webvrpcs + 0 x4a4e 03 0298 fa18 00401198 00878 fd8 02 c920f0 00011385 webvrpcs + 0 x2c75 04 0298 fb44 778 e5fda 0087909 c d0b9292e 0087 f628 webvrpcs + 0 x1198 05 0298 fb7c 778 e647b 00401000 0087909 c 0298 fc20 RPCRT4 !DispatchToStubInCNoAvrf + 0 x46 RPCRT4 06 0298 fbd4 778 e6355 00000000 00000000 00000000 !RPC_INTERFACE: DispatchToStubWorker + 0 x158 07年0298 fbf8 77927 e6d 77927 c 77927 00000000 RPCRT4 !RPC_INTERFACE: DispatchToStub + 0 0298 x90 08年fc84 779281公元前00000000 00878 fd8 00879054 RPCRT4 !OSF_SCALL: DispatchHelper + 0 x23f 09年0298 fc98 77928401 00000000 00892738 00000000 fd8 RPCRT4 !OSF_SCALL: DispatchRPCCall + 0 xf5 0 0298 fcc4 779289 a0 00892738 0300092 c 0300092 RPCRT4 !OSF_SCALL: ProcessReceivedPDU + 0 0 b 0298 x223 fce4 77928 b9c 00892738 0000092 c 0000092 c RPCRT4 !OSF_SCALL: BeginRpcCall + 0 0 c 0298 x123 fd40 7793747 f 7793747 00892738 7793747 c RPCRT4 !OSF_SCONNECTION::ProcessReceiveComplete+0x1e1 0d 0298fd54 7794bf8f 00895890 0000000c 00000000 RPCRT4!ProcessConnectionServerReceivedEvent+0x1c 0e 0298fd78 7794c188 00895890 0000000c 00000000 RPCRT4!DispatchIOHelper+0x46 0f 0298fdb0 75af818c 0000052c 00000000 0087e058 RPCRT4!CO_ConnectionThreadPoolCallback+0x120 10 0298fdd4 77df4cd6 0298fe74 00872370 0087e058 KERNELBASE!BasepTpIoCallback+0x2f 11 0298fe30 77dcfb5b 0298fe74 008603e8 0087e058 ntdll!TppIopExecuteCallback+0x1c5 12 0298ff88 758d343d 008725b0 0298ffd4 77db9832 ntdll!TppWorkerThread+0x594 13 0298ff94 77db9832 008725b0 75606122 00000000 kernel32!BaseThreadInitThunk+0xe 14 0298ffd4 77db9805 77dd04bc 008725b0 ffffffff ntdll!__RtlUserThreadStart+0x70 15 0298ffec 00000000 77dd04bc 008725b0 00000000 ntdll!_RtlUserThreadStart+0x1b 0:007> .load msec.dll 0:007> !exploitable !exploitable 1.6.0.0 Exploitability Classification: EXPLOITABLE Recommended Bug Title: Exploitable - Data Execution Prevention Violation starting at Unknown Symbol @ 0x0000000041414141 called from webvrpcs+0x0000000000004a4e (Hash=0xdd0ef56a.0xbb1bd46e) User mode DEP access violations are exploitable.

解决方案

升级到WebAccess / SCADA 8.4.3。

额外的引用

http://downloadt.advantech.com/download/downloadsr.aspx?File_Id=1-1U1VAB1

披露时间表

09/16/2019——漏洞发现
10/16/2019——披露(电子邮件保护)。90天是2020年1月14日。
10/17/2019——Advantech承认。
11/01/2019 Advantech建议站得住脚的,他们是实数11月8日,2019年。
12/03/2019——8.4.3站得住脚的确认解决。

交易报告内的所有信息提供了“是”,没有任何形式的保证,包括适销性的隐含保证和健身为特定目的,并没有保证的完整性、准确性、及时性。个人和组织负责评估任何实际或潜在的安全漏洞的影响。

站得住脚的非常重视产品安全。如果你认为你已经找到一个漏洞在一个我们的产品,我们要求您请与我们共同努力,快速解决它为了保护客户。站得住脚的相信迅速应对这样的报道,与研究人员保持沟通,并提供解决方案。

提交漏洞信息的更多细节,请参阅我们的漏洞报告指南页面。

如果你有问题或修正咨询,请电子邮件(电子邮件保护)

风险信息

成立咨询ID
- 2019 - 52
CVSSv2基地/时间的分数
10.0/7.8
CVSSv2向量
AV: N /交流:L /非盟:N / C: C / I: C / A: C
受影响的产品
Advantech WebAccess / SCADA 8.4.2
风险因素
至关重要的

咨询时间

12/11/2019——(R1)最初版本
免费试 现在购买

站得住脚的脆弱性管理

以前Tenable.io

享受完全访问一个现代的、基于云的脆弱性管理平台,使您能够看到并追踪你所有的资产与无与伦比的精度。

你站得住脚的脆弱性管理试验Lumin还包括成立,成立网络应用扫描和站得住脚的云安全。

站得住脚的脆弱性管理

以前Tenable.io

享受完全访问一个现代的、基于云的脆弱性管理平台,使您能够看到并追踪你所有的资产与无与伦比的精度。今天购买你的年度订阅。

65年资产

选择你的订阅选项:

现在购买
免费试 现在购买

尝试成立Nessus专业免费的

免费7天

站得住脚的Nessus是当今市场上最全面的漏洞扫描器。

新成立Nessus专家
现在可用

Nessus专家增添了更多的功能,包括外部攻击表面扫描,和添加域和扫描云基础设施的能力。点击这里尝试Nessus专家。

填写下面的表格继续Nessus Pro的审判。

买站得住脚的Nessus专业

站得住脚的Nessus是当今市场上最全面的漏洞扫描器。站得住脚的Nessus专业将帮助自动化漏洞扫描过程,节省时间在你的合规周期,让你与你的团队。

买一个多年的许可并保存。高级支持访问添加到手机、社区和聊天支持一天24小时,一年365天。

选择您的许可

买一个多年的许可并保存。

添加的支持和培训

现在购买
更新现有的许可证|找一个经销商|请求报价
免费试 现在购买
Tenable.io

享受完全访问一个现代的、基于云的脆弱性管理平台,使您能够看到并追踪你所有的资产与无与伦比的精度。

你站得住脚的脆弱性管理试验Lumin还包括成立,成立网络应用扫描和站得住脚的云安全。

Tenable.io

享受完全访问一个现代的、基于云的脆弱性管理平台,使您能够看到并追踪你所有的资产与无与伦比的精度。今天购买你的年度订阅。

65年资产

选择你的订阅选项:

现在购买
免费试 现在购买

尝试站得住脚的Web应用程序扫描

以前Tenable.ioWeb Application Scanning

享受完全访问我们的最新的web应用程序扫描提供专为现代应用程序的一部分的一个管理平台。安全扫描整个在线组合漏洞具有高精确度没有重体力工作或中断关键web应用程序。现在报名。

你站得住脚的Web应用程序扫描试验还包括站得住脚的脆弱性管理,成立Lumin站得住脚的云安全。

买站得住脚的Web应用程序扫描

以前Tenable.ioWeb Application Scanning

享受完全访问一个现代的、基于云的脆弱性管理平台,使您能够看到并追踪你所有的资产与无与伦比的精度。今天购买你的年度订阅。

5 fqdn

3578美元

现在购买

免费试 联系销售

尝试成立Lumin

可视化和探索你的风险管理,跟踪风险降低随着时间的推移和基准与站得住脚的Lumin你的同行。

你站得住脚的Lumin审判还包括站得住脚的脆弱性管理,站得住脚的Web应用程序扫描和站得住脚的云安全。

买站得住脚的Lumin

联系销售代表如何站得住脚的Lumin可以帮助你了解你的整个组织和管理网络的风险。

免费试 联系销售

尝试站得住脚的云安全

以前Tenable.cs

享受完全访问检测和修复云基础设施配置错误和查看运行时的漏洞。现在注册你的免费试用。了解更多关于审判过程请点击这里。

你站得住脚的云安全试验还包括站得住脚的脆弱性管理,成立Lumin和站得住脚的Web应用程序扫描。

联系销售代表购买站得住脚的云安全

联系销售代表来了解更多关于站得住脚的云安全,看是多么容易机载云账户和获得可见性都几分钟内云配置错误和漏洞。

免费试 现在购买

尝试成立Nessus专家免费

免费7天

现代修建的攻击表面,Nessus专家使您能够看到更多和保护您的组织从漏洞从云。

已经成立Nessus专业吗?
升级到Nessus专家免费7天。

买站得住脚的Nessus专家

现代修建的攻击表面,Nessus专家使您能够看到更多和保护您的组织从漏洞从云。

选择您的许可

买一个多年的执照和存更多的钱。

添加的支持和培训

现在购买
更新现有的许可证|找一个经销商|请求报价
免费试 现在购买

尝试Nessus专家免费

免费7天

现代修建的攻击表面,Nessus专家使您能够看到更多和保护您的组织从漏洞从云。

已经有了Nessus专业?
升级到Nessus专家免费7天。

买站得住脚的Nessus专家

现代修建的攻击表面,Nessus专家使您能够看到更多和保护您的组织从漏洞从云。

选择您的许可

买一个多年的执照和存更多的钱。

添加的支持和培训

现在购买
更新现有的许可证|找一个经销商|请求报价
Baidu
map