Две уязвимости были обнаружены в интерфейсе удаленного управления SCADA-системами Advantech WebAccess, широко применяемом в коммерческих компаниях, а также на производственных и энергетических предприятиях.
С помощью выявленных уязвимостей злоумышленник мог выполнять на целевой системе произвольный код. Первая брешь связана с ошибкой в компоненте ActiveX, который имеет статус безопасного для выполнения сценариев. Пользователь может, используя сформированную специальным образом веб-страницу, дистанционно выполнять на системе произвольные команды с пользовательскими правами.
Причиной существования второй уязвимости является небезопасный процесс загрузки dll-файлов. Используя социальную инженерию, хакер может вынудить пользователя осуществить запуск приложения из директории, которая содержит сформированный специальным образом dll-файл, и выполнить на целевой системе произвольный код.
Чтобы устранить уязвимости, необходимо произвести установку исправленной версии WebAccess.