A TippingPoint-hoz tartozó ZDI tegnap publikált egy, az ABB DataManagerPro-t érintő 0-day sérülékenységet, amit egy rgod néven ismert biztonsági szakember fedezett fel.

A sérülékenységet a DataManagerPro hibás fájlszintű jogosultságkezelése okozza, ennek következtében egy authentikált felhasználó alacsony szintű jogosultságok birtokában képes lehet a rendszer binárisait tartalmazó könyvtárban olyan fájlokat lecserélni, amiket a rendszer üzemeltetése során adminisztrátori jogosultsággal kell futtatni.

A hibát a ZDI először idén januárban jelezte az ICS-CERT-nek, a gyártó június/júliusra ígérte a javítást. A ZDI végül a standard 120 napos várakozási időszak után publikálta a hibát. Tekintettel arra, hogy jelenleg az érintett rendszerekhez nincs elérhető patch, ami a hibát javítaná valamint a hiba jellegére, a sérülékenység jelentette kockázatokat csak az érintett rendszerekhez történő hozzáférések szigorítása tudja csökkenteni.

Tvoábbi információkat a ZDI bejelentése tartalmaz: http://www.zerodayinitiative.com/advisories/ZDI-16-479/