Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Fecha de publicación: 19/06/2020

Importancia: Crítica

Recursos afectados:

Los productos que utilizan GenBroker64, Platform Services, Workbench, FrameWorX Server con versión 10.96 o anteriores son:

• GENESIS64,
• Hyper historiador,
• AnalytiX,
• MobileHMI.

Los productos con GenBroker32 versión v9.5 y anteriores son:

• GENESIS32,
• BizViz.

Descripción:

Investigadores de las empresas Claroty, Flashback, Incite y el Laboratorio Nacional Oak Ridge han descubierto diferentes vulnerabilidades en los productos de Iconics, que permitirían inyecciones remotas de código o ataques de denegación de servicio.

Solución:

Iconics lanzará las versiones 10.96, 10.95.5 y 10.95.2 para Genesis64 que corrigen estas vulnerabilidades, y las versiones 9.4 y 9.5 para Genesis32.

Para más información, se recomienda acudir a la página web de Iconics.

Detalle:

Las vulnerabilidades encontradas en los productos de Iconics podrían permitir ataques con escritura fuera de los límites, inyecciones de código o deserialización de datos no confiables.

La vulnerabilidad con mayor severidad es de carácter crítico y permitiría que un cliente WCF, especialmente diseñado, pudiera ejecutar comandos SQL arbitrarios de forma remota en el servidor Genesis64 FrameWorX.

Los identificadores asignados a estas vulnerabilidades son: CVE-2020-12011, CVE-2020-12015, CVE-2020-12009, CVE-2020-12013 y CVE-2020-12007.

Etiquetas: Actualización, Infraestructuras críticas, SCADA, Vulnerabilidad