Scadatec Procyon SCADA bis 1.12 Coreservice.exe Pufferüberlauf

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
9.5$0-$5k0.00

Eine sehr kritische Schwachstelle wurde in Scadatec Procyon SCADA bis 1.12 (SCADA Software) ausgemacht. Betroffen davon ist ein unbekannter Prozess der Datei Coreservice.exe. Durch Beeinflussen mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-119. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

Core Server HMI Service (Coreservice.exe) in Scadatec Limited Procyon SCADA 1.06, and other versions before 1.14, allows remote attackers to cause a denial of service (crash) and possibly execute arbitrary code via a long password to the Telnet (TCP/23) port, which triggers an out-of-bounds read or write, leading to a stack-based buffer overflow.

Die Schwachstelle wurde am 15.09.2011 (Website) veröffentlicht. Das Advisory kann von uscert.gov heruntergeladen werden. Die Identifikation der Schwachstelle findet seit dem 29.08.2011 als CVE-2011-3322 statt. Sie ist leicht ausnutzbar. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind sowohl technische Details als auch ein öffentlicher Exploit zur Schwachstelle bekannt. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 08.05.2017).

Ein öffentlicher Exploit wurde durch Metasploit in Ruby realisiert und vor und nicht erst nach dem Advisory veröffentlicht. Der Exploit wird unter securityfocus.com zur Verfügung gestellt. Er wird als hoch funktional gehandelt. Dabei muss 3 Tage als nicht veröffentlichte Zero-Day Schwachstelle ausgegangen werden. Während dieser Zeit erzielte er wohl etwa $0-$5k auf dem Schwarzmarkt.

Ein Upgrade auf die Version 1.13 vermag dieses Problem zu beheben.

Unter anderem wird der Fehler auch in den Datenbanken von X-Force (69632) und Exploit-DB (17827) dokumentiert.

Produktinfo

Typ

Hersteller

Name

Version

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB CVSS-B Score: 🔍
VulDB CVSS-BT Score: 🔍
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 10.0
VulDB Meta Temp Score: 9.5

VulDB Base Score: 10.0
VulDB Temp Score: 9.5
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Pufferüberlauf
CWE: CWE-119
CAPEC: 🔍
ATT&CK: 🔍

Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Hoch funktional
Autor: Metasploit
Programmiersprache: 🔍
Download: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

MetaSploit ID: procyon_core_server.rb
MetaSploit Name: Procyon Core Server HMI Coreservice.exe Stack Buffer Overflow
MetaSploit Datei: 🔍

Exploit-DB: 🔍

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Upgrade
Status: 🔍

0-Day Time: 🔍

Upgrade: Procyon SCADA 1.13
McAfee IPS: 🔍
McAfee IPS Version: 🔍

PaloAlto IPS: 🔍
Fortigate IPS: 🔍

Timelineinfo

29.08.2011 🔍
06.09.2011 +8 Tage 🔍
06.09.2011 +0 Tage 🔍
08.09.2011 +2 Tage 🔍
12.09.2011 +4 Tage 🔍
12.09.2011 +0 Tage 🔍
15.09.2011 +3 Tage 🔍
15.09.2011 +0 Tage 🔍
13.08.2013 +698 Tage 🔍
23.03.2015 +587 Tage 🔍
08.05.2017 +777 Tage 🔍

Quelleninfo

Advisory: uscert.gov
Status: Bestätigt

CVE: CVE-2011-3322 (🔍)
X-Force: 69632
Vulnerability Center: 41008 - Scadatec Limited Procyon SCADA < 1.14 Core Server HMI Service Remote DoS and Code Execution Vulnerability, Critical
SecurityFocus: 49480 - Scadatec Procyon Telnet Service Remote Buffer Overflow Vulnerability
Secunia: 45866 - Procyon SCADA Core Service Buffer Overflow Vulnerability, Moderately Critical
OSVDB: 75371

scip Labs: https://www.scip.ch/?labs.20161013

Eintraginfo

Erstellt: 23.03.2015 16:50
Aktualisierung: 08.05.2017 09:10
Anpassungen: 23.03.2015 16:50 (67), 08.05.2017 09:10 (14)
Komplett: 🔍

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!