Skip to main content

Argitalpen data: 2022/02/23

Garrantzia:Altua

Kaltetutako baliabideak:

Proficy CIMPLICITY, 11.1 eta lehenagoko bertsioak.

Azalpena:

OTORIOko Yuval Ardon-ek eta Roman Dvorkin-ek CISAri larritasun altuko bi ahultasunen berri eman diote. Horiek baliatuz urruneko erasotzaile batek kodea exekutatu eta pribilegio lokalak eskalatu litzake, eta baita konexio saio bat atzeman ere. Ondorioz informazio sentikorra heda liteke.

Konponbidea:

Kaltetutako softwarearen instantzia guztiak GE Digital-en Proficy CIMPLICITY-ra eguneratzea, 2022ko urtarrilean argitaratua, eta Hedapen Segururako Gidaren jarraibideak ezartzea CIMPLICITY-ren zer proiektu exekutatu daitezkeen murrizteko.

Xehetasuna:

  • Erasotzaileak CIMPLICITY aktiboki exekutatzen duen makina batera saio hasierako sarbidea badu, CIMPLICITY ez bada proiektu bat exekutatzen ari edo zerbitzariak hainbat proiektuetarako lizentzia baldin badu, pribilegioen eskalatze lokal bat eta kodearen exekuzioa gerta litezke. Ahultasun horretarako CVE-2022-23921 identifikatzailea esleitu da.
  • CIMPLICITYren sarean ikusitako kredentzialak testu lauan transmititzean, errazki izan daitezke ordeztuak eta erabiliak saioa hasteko eta sisteman aldaketa operatiboak egiteko. Ahultasun horretarako CVE-2022-21798 identifikatzailea esleitu da.

Encuesta valoración

Etiketak:Eguneraketa, Azpiegitura kritikoak, SCADA, Ahultasuna