Restricción insuficiente en referencias de entidad externa XML en Proficy GDS de GE

Fecha de publicación:

07/12/2018

Importancia:

4 - Alta

Recursos afectados:

Cimplicity versiones 9.0 R2, 9.5 y 10.0

Descripción:

El investigador Vladimir Dashchenko de Kaspersky Lab ha reportado una vulnerabilidad del tipo restricción insuficiente en referencias de entidad externa XML en Proficy GDS de General Electric que podría permitir a un atacante iniciar una sesión OPC UA y recuperar algún archivo del sistema objetivo.

Solución:

GE aconseja a los clientes actualizar a la versión 2.1 o superior.

Detalle:

La restricción inadecuada de referencias XXE (XML External Entity) podría permitir, mediante inyecciones XXE, llegar a una ruta dentro del servidor Proficy, iniciar una sesión de OPC UA y recuperar archivos del sistema objetivo. Se ha asignado el identificador CVE-2018-15362 para esta vulnerabilidad.

Referencias:

Advisory (ICSA-18-340-01) GE Proficy GDS

KLCERT-18-025: General Electric Proficy GDS XML eXternal Entity (XXE)

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Restricción insuficiente en referencias de entidad externa XML en Proficy GDS de GE

Múltiples vulnerabilidades en Philips Clinical Collaboration Platform

Múltiples vulnerabilidades en CodeMeter de Wibu Systems

Vulnerabilidad en WebAccess Node de Advantech

Múltiples vulnerabilidades en codificadores IPTV basados en hardware HiSilicon

Vulnerabilidad en FATEK Automation PLC WinProladder