Introducción
En el aviso ICS Advisory (ICSA-23-017-01) [1] se anuncian cinco vulnerabilidades que afectan a un producto de GE Digital, reportadas por el investigador de Claroty Research, Uri Katz.
Análisis
La única vulnerabilidad de severidad crítica de este aviso es:
CVE-2022-46732: Omisión de autenticación mediante una vulnerabilidad de canal o ruta alternativa (CWE-288).
Incluso si la autenticación falla para la autenticación del servicio local, el comando solicitado aún podría ejecutarse independientemente del estado de autenticación.
La explotación exitosa de estas vulnerabilidades podría bloquear el dispositivo después del acceso, provocar una condición de desbordamiento del búfer y permitir la ejecución remota de código.
El producto afectado es:
- Proficy Historian v7.0 y versiones superiores
Recomendaciones
- GE Digital publicó la nueva versión Proficy Historian 2023 [2] para mitigar estas vulnerabilidades.
- Los usuarios de este producto pueden encontrar más información sobre estas vulnerabilidades y cómo descargar e instalar las actualizaciones en la notificación de GE Digital indicada en las referencias [3].
Referencias
[1] ICS Advisory (ICSA-23-017-01)[2] Proficy Historian 2023
[3] Notification document from GE Digital