Уязвимость позволяет удаленно выполнить код, вызвать аварийное завершение работы приложения или спровоцировать отказ в обслуживании сервера приложений.
В ПО для управления коммуникациями Delta Industrial Automation COMMGR от тайваньской компании Delta Electronics исправлена уязвимость, позволявшая вызвать переполнение буфера в стеке. С ее помощью злоумышленник мог удаленно выполнить код, вызвать аварийное завершение работы приложения или спровоцировать отказ в обслуживании сервера приложений.
По системе оценивания опасности CVSS v3 уязвимость (CVE-2018-10594) получила 7.3 балла из максимальных 10. Для ее успешной эксплуатации особые технические навыки не требуются. Проблема затрагивает версию COMMGR 1.08 и более ранние, а также сопутствующие симуляторы ПЛК DVPSimulator EH2, EH3, ES2, SE, SS2 и AHSIM_5x0, AHSIM_5x1.
Во избежание потенциальных угроз пользователям настоятельно рекомендуется установить обновленную версию COMMGR 1.09. Также рекомендуется использовать списки разрешенных приложений, устанавливающих доверенное соединение через порты 502 и 10002.
Уязвимость была обнаружена анонимным исследователем безопасности в рамках проекта Zero Day Initiative от компании Trend Micro. В настоящее время какого-либо известного эксплоита для нее уязвимости не существует.
Одно найти легче, чем другое. Спойлер: это не темная материя