Múltiples vulnerabilidades en Operations Control Logger de AVEVA

Fecha de publicación 15/11/2023
Importancia
4 - Alta
Recursos Afectados
  • AVEVA SystemPlatform: 2020 R2 SP1 P01 y anteriores;
  • AVEVA Historian: 2020 R2 SP1 P01 y anteriores;
  • Servidor de aplicaciones AVEVA: 2020 R2 SP1 P01 y anteriores;
  • AVEVA InTouch: 2020 R2 SP1 P01 y anteriores;
  • AVEVA Enterprise Licensing (anteriormente conocido como License Manager): versión 3.7.002 y anteriores
  • Sistema de ejecución de fabricación AVEVA (anteriormente conocido como Wonderware MES): 2020 P01 y anteriores;
  • Gestión de recetas de AVEVA: 2020 R2 Actualización 1 Parche 2 y anteriores;
  • Gestión de lotes de AVEVA: 2020 SP1 y anteriores;
  • AVEVA Edge (anteriormente conocido como Indusoft Web Studio): 2020 R2 SP1 P01 y anteriores;
  • AVEVA Worktasks (anteriormente conocido como Workflow Management): 2020 U2 y anteriores;
  • AVEVA Plant SCADA (anteriormente conocido como Citect): 2020 R2 Actualización 15 y anteriores;
  • Operador móvil AVEVA (anteriormente conocido como Rondas de operadores móviles IntelaTrac): 2020 R1 y anteriores;
  • Paquete de controladores de comunicación AVEVA: 2020 R2 SP1 y anteriores;
  • Servidor de telemetría AVEVA: 2020 R2 SP1 y anteriores.
Descripción

Lukasz Piotrowski, de Equinor, ha informado de dos vulnerabilidades de severidad alta y media que podrían permitir una escalada de privilegios o una denegación de servicio.

Solución

AVEVA recomienda que las organizaciones evalúen el impacto de estas vulnerabilidades en función de su entorno operativo, arquitectura e implementación de productos. 

Los usuarios de los productos afectados deben aplicar actualizaciones de seguridad lo antes posible.

Detalle
  • La vulnerabilidad alta CVE-2023-33873 de escalada de privilegios, si se explota en la nube, podría permitir que un usuario local, autenticado, en el sistema operativo, con privilegios estándar, escale a privilegios del sistema, lo que resulta en un compromiso total de la máquina de destino.
  • La vulnerabilidad media CVE-2023-34982 de control externo, si se explota, podría permitir que un usuario local, autenticado, en el sistema operativo, con privilegios estándar, elimine archivos con privilegios de sistema en la máquina donde están instalados estos productos, lo que resultaría en una denegación de servicio.
     
Listado de referencias
SECURITY BULLETIN AVEVA-2023-003
ICSA-23-318-01 - AVEVA Operations Control Logger
Etiquetas