LA APLICACIÓN NAVIS WEBACCESS SE VE AFECTADA POR UN DEFECTO DE INYECCIÓN SQL

La aplicación Navis WebAccess utilizado en el sector del transporte en todo el mundo se ve afectado por una alta vulnerabilidad de inyección SQL gravedad.

Un software utilizado en los puertos de Estados Unidos se ve afectada por una alta vulnerabilidad de inyección SQL gravedad el CVE-2016-5817. La falla fue descubierta por un hacker detrás del apodo en línea "bRpsd", el experto ha descubierto la vulnerabilidad en la aplicación Navis WebAccess, un software basado en web que proporciona a los operadores de transporte de acceso en tiempo real a la información logística operativa.

La Navis WebAccess es un producto legado que todavía es utilizado por sólo 13 organizaciones de todo el mundo, cinco de ellos se encuentran en los Estados Unidos, incluyendo Georgia, el puerto de Virginia, Autoridad del Puerto de Houston, y los puertos América.

"RpsD" descubrió que la aplicación algunas páginas de noticias de acceso público WebAccess Navis se ven afectados por la vulnerabilidad de inyección SQL que podría ser aprovechado por un atacante remoto para leer o modificar los datos almacenados en la base de datos de la aplicación.

El hacker bRpsd ha desfigurado más de 1.200 sitios web desde 2014, es conocido por sus habilidades para el desarrollo de exploits para múltiples aplicaciones.

La administración de parches fue muy oportuna, el proveedor de software, Navis, informó acerca de la vulnerabilidad el 9 de agosto, un día después de rpsD publicó el exploit PoC. Navis publico parches personalizados el 10 de agosto.

El ICS-CERT publicó un aviso de seguridad sobre la falla en el Navis WebAccess, también informó de que todos los clientes de los Estados Unidos ya han aplicado el parcheado liberados por el vendedor.

"ICS-CERT tiene conocimiento de un informe público de una vulnerabilidad de inyección SQL con la prueba de concepto (PoC) el código de explotación que afectan a la aplicación Navis WebAccess. Este informe fue publicado por "bRpsd" sin coordinación, ya sea con el vendedor o ICS-CERT. ICS-CERT ha llegado a Navis que ha validado la vulnerabilidad reportada. Navis ha producido parches personalizados para mitigar esta vulnerabilidad. ".

La mala noticia es que de acuerdo con el ICS-CERT, la vulnerabilidad de inyección SQL se ha explotado frente a múltiples organizaciones con sede en los Estados Unidos que permite a los atacantes robar datos.

Alerta de seguridad emitida por el ICS-CERT: "ICS-CERT tiene conocimiento de un informe público de la vulnerabilidad de inyección SQL con la prueba de concepto (PoC) el código de explotación que afectan a la aplicación Navis WebAccess. Esta vulnerabilidad ha sido explotada contra múltiples organizaciones con sede en los Estados Unidos, lo que resulta en la pérdida de datos."

Los sistemas de transporte son la infraestructura crítica, esto significa que su protección es vital para el país. La alerta ICS-CERT también incluye indicadores de compromiso (COI) y sugerencias para mitigar el riesgo de exposición.


Fecha actualización el 2016-8-24. Fecha publicación el 2016-8-24. Categoría: Seguridad. Autor: Oscar olg Mapa del sitio
Navis WebAccess