Múltiples vulnerabilidades en ToolBoxST de GE Gas Power

Fecha de publicación: 26/01/2022

Importancia:
Alta

Recursos afectados:

ToolBoxST OS, todas las versiones anteriores a 07.09.07C.

Descripción:

Sharon Briznov, de Claroty, informó a GE de 2 vulnerabilidades, 1 de severidad alta y otra media, por las que un atacante podría realizar una fuga de datos o la escritura, sobrescritura y ejecución arbitrarias.

Solución:

Los usuarios deben asegurarse de seguir la guía de protección por contraseña y de segmentación de la red establecida en la Guía de Implementación Segura GEH-6839.

GE deshabilitó el uso de DTD en ToolBoxST OS Versión 07.09.07C y superior, y actualizó la librería Ionic a la versión 7.8.0 en ToolBoxST para corregir estas vulnerabilidades.

Para obtener más información, consulte el aviso de GE en la página de seguridad de GE. Los usuarios también pueden ponerse en contacto con GE Power PSIRT para obtener mitigaciones específicas.

Detalle:

• La versión v04.07.05C de GE Gas Power ToolBoxST sufre una vulnerabilidad de entidad externa XML (XXE) mediante la técnica de entidades de parámetros DTD que podría dar lugar a la divulgación y recuperación de datos arbitrarios en el nodo afectado mediante un ataque fuera de banda (OOB). Se ha asignado el identificador CVE-2021-44477 para esta vulnerabilidad alta.
• ToolBoxST anterior a la versión 7.8.0 utiliza una versión vulnerable de la librería Ionic .NET Zip que no controla correctamente los nombres de las rutas, lo que permite que los archivos se extraigan a una ubicación por encima de su directorio principal y de vuelta al directorio raíz. Si un atacante compromete un HMI o crea su propio cliente SDI, puede cargar el archivo device.zip desde un controlador, parchearlo para que contenga un archivo y una ruta maliciosos, y descargarlo de nuevo al controlador. Se ha asignado el identificador CVE-2018-16202 para esta vulnerabilidad media.

Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad