Progea Movicon SCADA 0day

[Celil ÜNÜVER]

24 Kasım 2013 tarihinde Pastebin’de , Progea Movicon SCADA zafiyetleriyle ilgili bir paylaşımda bulunmuştuk. Paylaştığımız analizde zafiyetlere gitmek için geçilen yollardan bahsedip , zafiyetleri ise kesin olarak işaret etmemiştik. Malesef ICS-CERT ekibi dışında zafiyetlere ulaşıp , bizimle iletişime geçen kurum ya da birey olmadı.

Movicon SCADA bir çok ülkede kullanılan yaygın bir otomasyon yazılımı. Zafiyetler henüz yamanmadığı için, bu blog yazımızda sadece Information Disclosure zafiyeti için bir istismar kodu yayınladık. Detaylarına aşağıdaki linkden ulaşabilirsiniz;

http://www.signalsec.com/scada-zeroday-acik

Saygılarımla.

- Celil Ünüver