Inicio / Alerta Temprana / Avisos Seguridad / Vulnerabilidad en GE Proficy HMI/SCADA CIMPLICITY WebView

Vulnerabilidad en GE Proficy HMI/SCADA CIMPLICITY WebView

Fecha de publicación: 
31/07/2013
Importancia: 
4 - Alta
Recursos afectados: 
  • Proficy HMI/SCADA – CIMPLICITY: Versión 4.01 a la versión 8.2
  • Proficy Process Systems with CIMPLICITY
Descripción: 

Investigadores han descubierto una vulnerabilidad de validación de datos de entrada incorrecta en la aplicación GE CIMPLICITY WebView. Esta aplicación es un interfaz HMI que se encuentra desplegada en multitud de empresas.

Solución: 

El fabricante ha publicado actualizaciones para los productos. Estas se pueden descargar desde http://support.ge-ip.com/support/index?page=kbchannel&id=KB15602

Detalle: 

El servidor CimWebServer no valida adecuadamente los datos de entrada. Mediante el envío de un paquete especialmente modificado, un atacante podría provocar la caída del WebView o del servidor web integrado, ejecutar comandos arbitrarios o incluso tomar el control del servidor. Hay que indicar que el componente vulnerable no se encuentra activado por defecto.

Un atacante podría explotar la vulnerabilidad mediante el envío de mensajes maliciosos sobre una conexión TCP hacia el servicio. El ataque no requiere autenticación y puede llevarse a cabo remotamente.