Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/05/2020

Garrantzia: Kritikoa 

Kaltetutako baliabideak: 

OpenEnterprise SCADA Software, 3.3.4 eta lehenagoko bertsioak.

Azalpena: 

Kaspersky-ko Roman Lozkok larritasun kritiko, altu eta ertaineko hiru ahultasunen berri eman dio Emersoni. Honako era hauetakoak dira hurrenez hurren: funtzio kritikorako autentifikazio falta, fitxategien ezaugarriaren kudeaketa okerra, eta zifratuaren sendotasun desegokia.

Konponbidea: 

Emersonek bere erabiltzaile guztiei gomendatzen die OpenEnterprise 3.3 Service Pack 5 (3.3.5) bertsiora eguneratzea, Emerson SupportNet plataforman eskuragarri.

Xehetasuna: 

• Kaltetutako osagaiak baliatuz, erasotzaile batek komando arbitrarioak exekuta litzake sistemaren pribilegioekin, edo kodearen urruneko exekuzioa egin lezake komunikazio zerbitzu zehatz baten bitartez. Ahultasun horretarako CVE-2020-10640 identifikatzailea erreserbatu da.
• Karpetaren segurtasun baimen desegokiak baliatuz, konfigurazio fitxategi garrantzitsuak alda litezke, eta horrek eragin lezake sistemak huts egitea edo ustekabeko moduan funtzionatzea. Ahultasun horretarako CVE-2020-10632 identifikatzailea erreserbatu da.
• Zifratu desegokia baliatuz OpenEnterprise-ren erabiltzaile kontuetarako pasahitzak eskura litezke. Ahultasun horretarako CVE-2020-10636 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, Azpiegitura kritikoak, SCADA, Ahultasuna