Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en OpenEnterprise SCADA Software de Emerson

Fecha de publicación 20/05/2020
Importancia
5 - Crítica
Recursos Afectados

OpenEnterprise SCADA Software, versión 3.3.4 y anteriores.

Descripción

Roman Lozko, de Kaspersky, ha reportado a Emerson 3 vulnerabilidades, de severidad crítica, alta y media, de tipo falta de autenticación para función crítica, gestión incorrecta de la propiedad de ficheros y fortaleza de cifrado inadecuada, respectivamente.

Solución

Emerson recomienda a todos sus usuarios actualizar a la versión OpenEnterprise 3.3 Service Pack 5 (3.3.5), disponible en la plataforma Emerson SupportNet.

Detalle
  • Los componentes afectados podrían permitir que un atacante ejecute comandos arbitrarios con privilegios del sistema o realice ejecución remota de código a través de un servicio de comunicación específico. Se ha reservado el identificador CVE-2020-10640 para esta vulnerabilidad.
  • Los permisos de seguridad de carpeta inadecuados podrían permitir la modificación de archivos de configuración importantes, lo que podría provocar que el sistema falle o se comporte de manera impredecible. Se ha reservado el identificador CVE-2020-10632 para esta vulnerabilidad.
  • El cifrado inadecuado podría permitir obtener las contraseñas para las cuentas de usuario de OpenEnterprise. Se ha reservado el identificador CVE-2020-10636 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
ICS Advisory (ICSA-20-140-02) Emerson OpenEnterprise
Etiquetas