VTScada (formerly VTS)

Die Schwachstelle betrifft die WAP-Schnittstelle der Software VTScada (ehemals VTS) von Trihedral, die in der Prozess- und Leitsteuerung industrieller Anlagen zum Einsatz kommt. Der Fehler ist ein Lesezugriff außerhalb der vorgesehenen Speichergrenzen (Out-of-bounds Read): Die Anwendung liest beim Verarbeiten bestimmter Eingaben über die zugewiesenen Speicherbereiche hinaus. Dadurch kann ein Angreifer aus der Ferne über die WAP-Schnittstelle einen Absturz der Anwendung auslösen und so einen Denial of Service herbeiführen – das Programm wird unbrauchbar und der Dienst fällt aus. Die genauen Auslöser des Fehlers sind nicht näher beschrieben; ausgenutzt wird er über die erreichbare Schnittstelle ohne weitere Voraussetzungen. Betroffen sind Anlagen, deren VTScada-Installation diese Schnittstelle nach außen bereitstellt. Da solche Systeme der Überwachung und Steuerung technischer Prozesse dienen, kann bereits ein Ausfall der Anwendung den Betrieb der gesteuerten Anlage beeinträchtigen.