Múltiples vulnerabilidades en Emerson Proficy Machine Edition
Proficy Machine Edition, versiones 9.80 y anteriores.
Sharon Brizinov, investigador de Claroty Research, ha reportado 6 vulnerabilidades, 1 de severidad crítica y 5 medias, cuya explotación podría permitir la ejecución remota de código oculto en el PLC conectado y la carga de archivos maliciosos desde el PLC a las workstations conectadas.
Emerson recomienda a los usuarios aplicar las siguientes medidas para mitigar los riesgos asociados a cada una de las vulnerabilidades identificadas:
- CVE-2022-2793: los protocolos SRTP y SNP admiten la autenticación criptográfica segura mediante el protocolo SRP-6a, una función que el fabricante recomienda emplear a los usuarios. Los dispositivos afectados admiten actualmente la autenticación cifrada para el establecimiento de la sesión y cuando se escalan los privilegios; con el tiempo se añadirán otras funciones de cifrado.
- CVE-2022-2792: el fabricante planea solucionar esta vulnerabilidad en una versión futura. Hasta entonces, se recomienda a los usuarios que se aseguren de que están utilizando la última versión de PAC Machine Edition y que empleen una buena seguridad física de los dispositivos y las rutas de transmisión.
- CVE-2022-2791, CVE-2022-2790, CVE-2022-2789 y CVE-2022-2788: Emerson recomienda a los operadores de los dispositivos afectados que se verifiquen bien y que restrinjan qué usuarios pueden cargar archivos. Los dispositivos afectados no disponen de ningún sistema de verificación de archivos para comprobar los archivos que se han cargado. Adicionalmente para CVE-2022-2788, el fabricante recomienda que Proficy Machine Edition se instale como administrador, pero que se ejecute sin privilegios de administrador, a menos que sea necesario para funciones específicas. Los usuarios deben asegurarse de que los PLC no se programen utilizando una red no fiable, así como de habilitar la autenticación en dichos PLC.
Proficy Machine Edition es vulnerable a un ataque Zip Slip a través de un procedimiento de carga que permite a los atacantes implantar un archivo malicioso .BLZ en el PLC. El archivo podría transferirse a través de la estación de ingeniería a Windows de forma que se ejecute el código malicioso. Se ha asignado el identificador CVE-2022-2788 para esta vulnerabilidad crítica.
Para el resto de vulnerabilidades de severidad media se han asignado los identificadores: CVE-2022-2793, CVE-2022-2792, CVE-2022-2791, CVE-2022-2790 y CVE-2022-2789.
