company-186980_1280.jpg

GE Digital corrige falhas de risco elevado no CIMPLICITY

Da Redação
27/02/2022

A GE Digital e a CISA – agência de segurança cibernética dos EUA – publicaram na última quarta-feira alertas para duas correções necessárias no software Proficy CIMPLICITY HMI/SCADA, que é usado por fábricas em todo o mundo para monitorar e controlar operações. Elas foram descobertas pela empresa israelense de segurança de TO (tecnologia operacional) OTORIO e ambas têm CVSS de grau 7,5.

Veja isso
Vulnerabilidades põem em risco sistema SCADA da Schneider
43 mil dispositivos SCADA expostos e vulneráveis na internet

Uma das brechas de segurança, rastreada como CVE-2022-23921 , pode ser explorada para escalonamento de privilégios e execução remota de código. No entanto, a exploração bem-sucedida requer acesso ao dispositivo que executa o Proficy CIMPLICITY e o servidor de destino não deve estar executando um projeto e deve ser licenciado para vários projetos. A GE lançou uma atualização que deve corrigir essa vulnerabilidade.

A segunda vulnerabilidade, identificada como CVE-2022-21798, está relacionada à transmissão de credenciais em texto não criptografado. Um invasor que pode capturar as credenciais por meio de um ataque man-in-the-middle (MitM) e usá-las para se autenticar na HMI e obter informações sobre alertas e outras partes do sistema. A GE disse que um invasor – em alguns casos – também pode alterar valores no sistema.

Curiosamente, as duas vulnerabilidades anunciadas pela GE são totalmente “mitigaveis”. Se a instalação do servidor foi feita corretamente e com a segurança em mente, há uma boa chance de que eles não sejam exploráveis diz o relatório da OTORIO. No entanto, dada a função central do CIMPLICITY em ambientes OT, as duas vulnerabilidades apresentam um enorme potencial de impacto disruptivo nesse servidor operacional. Segundo o relatório, “podemos supor que, se e quando os invasores estabelecerem uma posição na rede, o CIMPLICITY estará no topo de sua lista”.

Com agências de notícias internacionais

Compartilhar: