Restricción insuficiente en referencias de entidad externa XML en Proficy GDS de GE

Fecha de publicación:

07/12/2018

Importancia:

4 - Alta

Recursos afectados:

Cimplicity versiones 9.0 R2, 9.5 y 10.0

Descripción:

El investigador Vladimir Dashchenko de Kaspersky Lab ha reportado una vulnerabilidad del tipo restricción insuficiente en referencias de entidad externa XML en Proficy GDS de General Electric que podría permitir a un atacante iniciar una sesión OPC UA y recuperar algún archivo del sistema objetivo.

Solución:

GE aconseja a los clientes actualizar a la versión 2.1 o superior.

Detalle:

La restricción inadecuada de referencias XXE (XML External Entity) podría permitir, mediante inyecciones XXE, llegar a una ruta dentro del servidor Proficy, iniciar una sesión de OPC UA y recuperar archivos del sistema objetivo. Se ha asignado el identificador CVE-2018-15362 para esta vulnerabilidad.

Referencias:

Advisory (ICSA-18-340-01) GE Proficy GDS

KLCERT-18-025: General Electric Proficy GDS XML eXternal Entity (XXE)

Etiquetas:

Actualización

Vulnerabilidad

Accesos corporativos

Restricción insuficiente en referencias de entidad externa XML en Proficy GDS de GE

Vulnerabilidad en xComfort de Eaton

Múltiples vulnerabilidades en Eurotherm GUIcon de Schneider Electric

Cifrado débil en aplicación Android HealthSuite Health de Philips

Restricción insuficiente en referencias de entidad externa XML en Proficy GDS de GE

Múltiples vulnerabilidades en Allen-Bradley PowerMonitor 1000 de Rockwell Automation