Restricción insuficiente en referencias de entidad externa XML en Proficy GDS de GE

Fecha de publicación:

07/12/2018

Importancia:

4 - Alta

Recursos afectados:

Cimplicity versiones 9.0 R2, 9.5 y 10.0

Descripción:

El investigador Vladimir Dashchenko de Kaspersky Lab ha reportado una vulnerabilidad del tipo restricción insuficiente en referencias de entidad externa XML en Proficy GDS de General Electric que podría permitir a un atacante iniciar una sesión OPC UA y recuperar algún archivo del sistema objetivo.

Solución:

GE aconseja a los clientes actualizar a la versión 2.1 o superior.

Detalle:

La restricción inadecuada de referencias XXE (XML External Entity) podría permitir, mediante inyecciones XXE, llegar a una ruta dentro del servidor Proficy, iniciar una sesión de OPC UA y recuperar archivos del sistema objetivo. Se ha asignado el identificador CVE-2018-15362 para esta vulnerabilidad.

Referencias:

Advisory (ICSA-18-340-01) GE Proficy GDS

KLCERT-18-025: General Electric Proficy GDS XML eXternal Entity (XXE)

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Restricción insuficiente en referencias de entidad externa XML en Proficy GDS de GE

Validación de entrada incorrecta en APM Connect de GE

Vulnerabilidad XML External Entity (XEE) en Studio 5000 Logix Designer de Rockwell Automation

Múltiples vulnerabilidades en Mitsubishi Electric GOT2000

Múltiples vulnerabilidades en CIM 500 de Grundfos Pumps Corporation

Múltiples vulnerabilidades en OpenClinic GA