Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Salto de ruta en Mark VIe de GE

Fecha de publicación: 14/12/2018

Importancia: Alta

Recursos afectados:

  • Mark VIe, versiones desde la 03.03.28C hasta la 05.02.04C
  • EX2100e, EX2100e_Reg y LS2100e, versiones anteriores a la v04.09.00C

Descripción:

El investigador Can Demirel de Biznet Bilisim ha reportado una vulnerabilidad de tipo salto de ruta que afecta a los dispositivos DCS Mark Vie de GE que podría permitir a un atacante acceder a datos del sistema, dando lugar a un escalado de privilegios y a un acceso sin autorización al controlador.

Solución:

GE ha solucionado esta vulnerabilidad en la versión actual del software ControlST, la cual se encuentra disponible para usuarios registrados en el portal de GE Power ServiceNow

Detalle:

  • Un potencial atacante podría obtener acceso a información restringida aprovechando un fallo de restricción de salto de ruta. Se ha asignado el identificador CVE-2018-19003 para esta vulnerabilidad.

Etiquetas: Actualización, Vulnerabilidad