Introducció
En l’avís ICS Advisory (ICSA-23-017-01)[1] s’anuncien cinc vulnerabilitats que afecten un producte de GE Digital, reportades per l’investigador de Claroty Research, Uri Katz.
Anàlisi
L’única vulnerabilitat de severitat crítica d’aquest avís és:
CVE-2022-46732: ]: Omissió d’autenticació mitjançant una vulnerabilitat de canal o ruta alternativa (CWE-288).
Fins i tot si l’autenticació falla per a l’autenticació del servei local, el comando sol·licitat encara podria executar-se independentment de l’estat d’autenticació.
L’explotació reeixida d’aquestes vulnerabilitats podria bloquejar el dispositiu després de l’accés, provocar una condició de desbordament del búfer i permetre l’execució remota de codi.
El producte afectat és:
- Proficy Historian v7.0 i versions superiors
Recomanacions
- GE Digital va publicar la nova versió *Proficy Historien 2023 [2] per a mitigar aquestes vulnerabilitats.
- Els usuaris d’aquest producte poden trobar més informació sobre aquestes vulnerabilitats i com descarregar i instal·lar les actualitzacions en la notificació de GE Digital indicada en les referències [3].
Referéncies
[1] ICS Advisory (ICSA-23-017-01)[2] Proficy Historian 2023
[3] Notification document from GE Digital