Restricción insuficiente en referencias de entidad externa XML en Proficy GDS de GE

Fecha de publicación:

07/12/2018

Importancia:

4 - Alta

Recursos afectados:

Cimplicity versiones 9.0 R2, 9.5 y 10.0

Descripción:

El investigador Vladimir Dashchenko de Kaspersky Lab ha reportado una vulnerabilidad del tipo restricción insuficiente en referencias de entidad externa XML en Proficy GDS de General Electric que podría permitir a un atacante iniciar una sesión OPC UA y recuperar algún archivo del sistema objetivo.

Solución:

GE aconseja a los clientes actualizar a la versión 2.1 o superior.

Detalle:

La restricción inadecuada de referencias XXE (XML External Entity) podría permitir, mediante inyecciones XXE, llegar a una ruta dentro del servidor Proficy, iniciar una sesión de OPC UA y recuperar archivos del sistema objetivo. Se ha asignado el identificador CVE-2018-15362 para esta vulnerabilidad.

Referencias:

Advisory (ICSA-18-340-01) GE Proficy GDS

KLCERT-18-025: General Electric Proficy GDS XML eXternal Entity (XXE)

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Restricción insuficiente en referencias de entidad externa XML en Proficy GDS de GE

Desbordamiento de búfer en gpsd y microjson de gpsd Open Source Project

Múltiples vulnerabilidades en productos de Schneider Electric

Omisión de autenticación en Internet FAX ATA de Pangea Communications

Múltiples vulnerabilidades en PowerMonitor 1000 de Rockwell Automation

Cross-site scripting en PI visión de OSIsoft