Boletín de INCIBE-CERT del 08-02-2021

Vulnerabilidades en GE Digital iFIX

Fecha de publicación:

08/02/2021

Importancia:

4 - Alta

Recursos afectados:

GE Digital HMI/SCADA iFIX v6.1 y anteriores.

Descripción:

Sharon Brizinov, de Claroty, y William Knowles, junto con Applied Risk, han informado a GE Digital de 3 vulnerabilidades que podrían permitir a un atacante escalar privilegios y modificar la configuración de GE Digital iFIX de todo el sistema del usuario.

Solución:

Actualizar a GE Digital’s iFIX v6.5.

Detalle:

[Actualización 10/02/2021] Un usuario local, autenticado, podría modificar las configuraciones de iFIX en todo el sistema a través del registro. Esto podría permitir la escalada de privilegios. Se han asignado los identificadores CVE-2019-18243 y CVE-2019-18255.

Referencias:

GE Digital Product Security Advisory - GE Digital iFIX Vulnerabilities

[Actualización 10/02/2021] GE iFIX 6.1 - Multiple Vulnerabilities

[Actualización 10/02/2021] ICS Advisory (ICSA-21-040-01) GE Digital HMI/SCADA iFIX

[Actualización 10/02/2021] GE iFIX Privilege Escalation: Abusing Insecure Section Object Permissions

Etiquetas:

Actualización

Infraestructuras críticas

SCADA

Vulnerabilidad

Accesos corporativos

Boletín de INCIBE-CERT del 08-02-2021