Брешь позволяет удаленное выполнение произвольных SQL-запросов.
Команда экстренного реагирования на киберугрозы промышленных систем управления (ICS-CERT) сообщила об уязвимости в инструменте PI AF производства компании OSIsoft. Брешь позволяет удаленному атакующему выполнять произвольные SQL-запросы на уязвимой системе и в результате раскрывать информацию, подделывать данные, повышать привилегии и вызывать отказ в обслуживании.
«Некоторые инсталляции продукта вставляют учетную запись ‘Everyone’ в группу ‘PI SQL (AF) Trusted Users’ в PI AF Server. Пользователи в группе ‘PI SQL (AF) Trusted Users’ могут обходить большинство проверок безопасности, которые обычно применяются к различным типам SQL-запросов, а также без авторизации выполнять произвольные команды в PI AF SQL Database», - говорится в уведомлении ICS-CERT.
Уязвимость затрагивает продукты, которые могут добавлять проблемную учетную запись ‘Everyone’, в том числе PI AF Server 2.6 и PI SQL для AF 2.1. Способ решения проблемы зависит от того, какая версия PI WebParts установлена. Пользователям PI WebParts 2013 и выше достаточно просто удалить ‘PI SQL (AF) Trusted Users’ из AF Server. Тем, кто работает с WebParts 2010 (или 2010 R2), необходимо обновиться до версии 2013 и удалить ‘PI SQL (AF) Trusted Users’. В качестве альтернативы можно удалить пользователя ‘Everyone’ из PI SQL (AF) Trusted Users’ и добавить соответствующую учетную запись в группу Windows.
Гравитация научных фактов сильнее, чем вы думаете