Múltiples vulnerabilidades en Proficy Historian de GE Digital

Fecha de publicación: 18/01/2023

Importancia:
Crítica

Recursos afectados:

GE Digital Proficy Historian, versión 7.0 y superiores.

Descripción:

Uri Katz, de Claroty Research, ha reportado 4 vulnerabilidades de severidad alta, y una vulnerabilidad de severidad crítica, cuya explotación podría permitir el bloqueo del dispositivo después del acceso, causando un desbordamiento de búfer y pudiendo permitir una ejecución remota de código.

Solución:

GE Digital ha lanzado la versión Proficy Historian 2023 para mitigar estas vulnerabilidades (más información en las referencias).

Detalle:

• La vulnerabilidad de severidad crítica podría ser explotada al fallar la autenticación del servicio local, ya que el comando solicitado podría seguir ejecutándose independientemente del estado de la autenticación. Se ha asignado el identificador CVE-2022-46732 para esta vulnerabilidad.
• Las vulnerabilidades de severidad alta podría ser explotadas si un usuario no autenticado:
  • alterase y/o escribiese archivos, con control total sobre la ruta y el contenido de los mismos. Se ha asignado el identificador CVE-2022-46660 para esta vulnerabilidad.
  • leyese cualquier archivo del sistema, exponiendo potencialmente información sensible. Se ha asignado el identificador CVE-2022-43494 para esta vulnerabilidad.
  • borrase cualquier archivo del sistema. Se ha asignado el identificador CVE-2022-46331 para esta vulnerabilidad.
  • con acceso a la red y con conocimiento de la clave de descifrado, descifrase datos confidenciales, como nombres de usuario y contraseñas. Se ha asignado el identificador CVE-2022-38469 para esta vulnerabilidad.

Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad