Restricción insuficiente en referencias de entidad externa XML en Proficy GDS de GE

Fecha de publicación:

07/12/2018

Importancia:

4 - Alta

Recursos afectados:

Cimplicity versiones 9.0 R2, 9.5 y 10.0

Descripción:

El investigador Vladimir Dashchenko de Kaspersky Lab ha reportado una vulnerabilidad del tipo restricción insuficiente en referencias de entidad externa XML en Proficy GDS de General Electric que podría permitir a un atacante iniciar una sesión OPC UA y recuperar algún archivo del sistema objetivo.

Solución:

GE aconseja a los clientes actualizar a la versión 2.1 o superior.

Detalle:

La restricción inadecuada de referencias XXE (XML External Entity) podría permitir, mediante inyecciones XXE, llegar a una ruta dentro del servidor Proficy, iniciar una sesión de OPC UA y recuperar archivos del sistema objetivo. Se ha asignado el identificador CVE-2018-15362 para esta vulnerabilidad.

Referencias:

Advisory (ICSA-18-340-01) GE Proficy GDS

KLCERT-18-025: General Electric Proficy GDS XML eXternal Entity (XXE)

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Restricción insuficiente en referencias de entidad externa XML en Proficy GDS de GE

Vulnerabilidad en Fuji Electric V-Server Lite

Múltiples vulnerabilidades en FactoryTalk Linx de Rockwell Automation

Consumo de recursos no controlado en Mitsubishi Electric MELSEC iQ-R series

Múliples vulnerabilidades en varios productos de Endress+Hauser

Vulnerabilidad de escalada de privilegios en TwinCAT System Tray de Beckhoff