Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en Proficy CIMPLICITY de GE

Múltiples vulnerabilidades en Proficy CIMPLICITY de GE

Fecha de publicación: 
23/02/2022
Importancia: 
4 - Alta
Recursos afectados: 

Proficy CIMPLICITY, versión 11.1 y anteriores.

Descripción: 

Yuval Ardon y Roman Dvorkin, de OTORIO, han reportado al CISA 2 vulnerabilidades de severidad alta, por las que un atacante remoto podría realizar tanto la ejecución de código como la escalada de privilegios locales y capturar una sesión de conexión, pudiendo acabar en la divulgación de información sensible.

Solución: 

Actualizar todas las instancias del software afectado a Proficy CIMPLICITY de GE Digital, publicado en enero de 2022, y seguir las instrucciones de la Guía de Despliegue Seguro para restringir qué proyectos de CIMPLICITY pueden ejecutarse.

Detalle: 
  • Si el atacante tiene acceso de inicio de sesión a una máquina que ejecuta activamente CIMPLICITY, el servidor CIMPLICITY no está ejecutando ya un proyecto o el servidor tiene licencia para múltiples proyectos podría dar lugar a una escalada de privilegios local y a la ejecución de código. Se ha asignado el identificador CVE-2022-23921 para esta vulnerabilidad.
  • La transmisión en texto claro de las credenciales vistas en la red de CIMPLICITY pueden ser fácilmente suplantadas y utilizadas para iniciar sesión y realizar cambios operativos en el sistema. Se ha asignado el identificador CVE-2022-21798 para esta vulnerabilidad.

Encuesta valoración