Múltiples vulnerabilidades en AVEVA System Platform
AVEVA System Platform 2020 R2 P01 y versiones anteriores.
Sharon Brizinov, de Claroty, junto con Ilya Karpov, Evgeniy Druzhinin y Konstantin Kondratev, de Rostelecom-Solar, coordinados por el ICS-CERT, han notificado vulnerabilidades en AVEVA System Platform.
Los usuarios afectados deben actualizar a una de las versiones listadas a continuación y después aplicar la actualización de seguridad correspondiente:
- AVEVA System Platform 2020 R2 P01 / AVEVA System Platform 2020 R2: AVEVA System Platform 2020 R2 SP1;
- AVEVA System Platform 2020: AVEVA System Platform 2020 P01.
Las vulnerabilidades ya han sido corregidas en:
- AVEVA Application Server,
- AVEVA Operations Management Interface (OMI)
- AVEVA Historian and Historian Client.
Las vulnerabilidades podrían exponer las credenciales en texto claro de la cuenta de Network User Account del sistema, o las credenciales en texto claro del usuario conectado, a un usuario autorizado con pocos privilegios. Las credenciales en texto claro también quedarían expuestas si el usuario crea un volcado de memoria de diagnóstico del proceso y lo guarda en una ubicación no protegida a la que pueda acceder un usuario malicioso no autorizado.
