GE Intelligent Platforms Proficy HTML Help sérülékenységek

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Proficy Historian: Versions 4.5, 4.0, 3.5, and 3.1
Proficy HMI/SCADA – iFIX: Versions 5.1 and 5.0
Proficy Pulse: Version 1.0
Proficy Batch Execution: Version 5.6
SI7 I/O Driver: Versions between 7.20 and 7.42

Összefoglaló

A GE Intelligent Platforms termékek sérülékenységei váltak ismertté, amelyeket kihasználva a támadók a kliensen fájlokat helyezhetnek át illetve módosíthatnak vagy tetszőleges kódot futtathatnak.

Leírás

1. Egy verem alapú puffer túlcsordulás hiba létezik a KeyHelp.ocx vezérlőben, mivel nem végez megfelelő határellenőrzést a felhasználó által átadott bemeneti adatokon.
2. A KexHelp.ocx vezérlő nem korlátozza vagy ellenőrzi megfelelően a felhasználó által átadott bemeneti adatokat, ami kihasználható script beszúrásra (script insertion).

Megoldás

Távolítsa el a KeyHelp.ocx ActiveX vezérlőt a regisztrációs adatbázisból! A gyártó további tanácsai az eltávolítással kapcsolatban az alábbi hivatkozáson találhatóak:
http://support.ge-ip.com/support/index?page=kbchannel&id=S:KB14863

További javaslatok a kockázatok csökkentésére:

1. Minimalizálja a vezérlőrendszer eszközök hálózati elérhetőségét! A kritikus eszközök ne érjék el közvetlenül az Internetet!
2. A vezérlőrendszer hálózatokat és a távolról elérhető eszközöket védje tűzfalakkal és szigetelje el őket az üzleti hálózattól!
3. Távoli hozzáférés szükségessége esetén használjon olyan biztonsági megoldásokat, mint a virtuális magánhálózat (VPN)!

Támadás típusa

Hatás

Szükséges hozzáférés

Hivatkozások

Gyártói referencia: support.ge-ip.com
Egyéb referencia: www.us-cert.gov
CVE-2012-2515 - NVD CVE-2012-2515
CVE-2012-2516 - NVD CVE-2012-2516