Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en GE Proficy

Múltiples vulnerabilidades en GE Proficy

Fecha de publicación: 
24/01/2014
Importancia: 
4 - Alta
Recursos afectados: 
  • Proficy HMI/SCADA - CIMPLICITY, Version 4.01 hasta 8.2
  • Proficy Process Systems con CIMPLICITY.
Descripción: 
CIMPLICITY CimWebServer no chequea la localización de los archivos de shell, lo que permitiría a usuarios no autenticados cargar código shell desde una localización remota en lugar del directorio local por defecto.
Solución: 

General Electrics ha desarrollado un parche para una de las vulnerabilidades, y cambios de configuración para la otra.

Puede dirigirse a su aviso original para una guía detallada de estas mitigaciones, y a su página de descargas para descargar el software actualizado.

Detalle: 

RECORRIDO DE DIRECTORIOS

El componente gefebt.exe proporcionado con CIMPLICITY CimWebServer y el componente de acceso web no chequean la localización de archivos shell cargados en el sistema. Modificando la localización de carga, un atacante podría enviar código shell a CimWebServer, lo cual ejecutaría los archivos maliciosos como un script de servidor. Esto permitiría al atacante ejecutar código de forma arbitraria.

CVE-2014-0750 y CVE-2014-0751