Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Aski ez den murrizpena kanpoko XML entitatearen erreferentzietan GEren Proficy GDSn

Argitalpen data: 2018/12/07

Garrantzia: Handia

Kaltetutako baliabideak:

Cimplicity, 9.0 R2, 9.5 eta 10.0 bertsioak

Azalpena:

Kaspersky Lab-eko Vladimir Dashchenko ikertzaileak General Electric-en Proficy GDSri eragiten dion ahultasun baten berri eman du, kanpoko XML entitatearen erreferentzietan aski ez den murrizpen baten erakoa. Hori baliatuz erasotzaile batek OPC UA saio bat has lezake eta xede duen sistemako fitxategiren bat berreskuratu.

Konponbidea:

  • GEk bere bezeroei aholkatzen die 2.1 bertsiora edo goragoko batera eguneratzea.

Xehetasuna:

  • XXE (XML External Entity) erreferentzien murrizpen desegoki bat baliatuz eta XXE injekzioen bidez, Proficy zerbitzariaren barneko bide batera irits liteke, OPC UA saio bat hasi eta xede den sistemako fitxategiak berreskuratu. Ahultasun horretarako CVE-2018-15362 identifikatzailea erabili da.
Etiketak: Eguneraketa, Ahultasuna