Web Studio

Die Schwachstelle steckt in der Komponente NTWebServer von InduSoft Web Studio, einer Software zur Erstellung von Bedien- und Visualisierungsoberflächen für industrielle Steuerungssysteme. Es handelt sich um einen Directory-Traversal-Fehler: Über entsprechend präparierte Web-Anfragen kann ein Angreifer aus der Ferne aus dem eigentlich vorgesehenen Verzeichnis ausbrechen und auf Dateien außerhalb davon zugreifen. Auf diesem Weg lassen sich die sogenannten APP-Dateien auslesen, in denen administrative Passwörter hinterlegt sind. Mit den so erbeuteten Zugangsdaten kann der Angreifer anschließend beliebigen Code auf dem System ausführen und das betroffene Gerät übernehmen. Der Angriff erfordert weder gültige Anmeldedaten noch eine Benutzerinteraktion und ist allein über den Webserver der Anwendung durchführbar. Da die Software in industriellen Umgebungen zur Anlagenvisualisierung und -steuerung eingesetzt wird, kann eine Übernahme unmittelbare Auswirkungen auf die überwachten technischen Prozesse haben.