GE Intelligent Platforms Proficy HTML Help sérülékenységek

CH azonosító

CH-7108

Angol cím

GE INTELLIGENT PLATFORMS PROFICY HTML HELP VULNERABILITIES

Felfedezés dátuma

2012.06.27.

Súlyosság

Kritikus

Érintett rendszerek

General Electric (GE)
Proficy Batch Execution
Proficy HMI/SCADA iFIX
Proficy Historian
Proficy Pulse
SI7 I/O Driver

Érintett verziók

Proficy Historian: Versions 4.5, 4.0, 3.5, and 3.1
Proficy HMI/SCADA – iFIX: Versions 5.1 and 5.0
Proficy Pulse: Version 1.0
Proficy Batch Execution: Version 5.6
SI7 I/O Driver: Versions between 7.20 and 7.42

Összefoglaló

A GE Intelligent Platforms termékek sérülékenységei váltak ismertté, amelyeket kihasználva a támadók a kliensen fájlokat helyezhetnek át illetve módosíthatnak vagy tetszőleges kódot futtathatnak.

Leírás

  1. Egy verem alapú puffer túlcsordulás hiba létezik a KeyHelp.ocx vezérlőben, mivel nem végez megfelelő határellenőrzést a felhasználó által átadott bemeneti adatokon.
  2. A KexHelp.ocx vezérlő nem korlátozza vagy ellenőrzi megfelelően a felhasználó által átadott bemeneti adatokat, ami kihasználható script beszúrásra (script insertion).

Megoldás

Távolítsa el a KeyHelp.ocx ActiveX vezérlőt a regisztrációs adatbázisból! A gyártó további tanácsai az eltávolítással kapcsolatban az alábbi hivatkozáson találhatóak:
http://support.ge-ip.com/support/index?page=kbchannel&id=S:KB14863

További javaslatok a kockázatok csökkentésére:

  1. Minimalizálja a vezérlőrendszer eszközök hálózati elérhetőségét! A kritikus eszközök ne érjék el közvetlenül az Internetet!
  2. A vezérlőrendszer hálózatokat és a távolról elérhető eszközöket védje tűzfalakkal és szigetelje el őket az üzleti hálózattól!
  3. Távoli hozzáférés szükségessége esetén használjon olyan biztonsági megoldásokat, mint a virtuális magánhálózat (VPN)!