Múltiples vulnerabilidades en PI Integrator de AVEVA
PI Integrator for Business Analytics, versiones 2020 R2 SP1 y anteriores.
Maxime Escourbiac de Michelin CERT y Adam Bertrand de Abicom han descubierto 2 vulnerabilidades de severidad alta que, en caso de ser explotadas, podrían permitir a un atacante acceder a información sensible o subir y ejecutar ficheros.
El fabricante recomienda a las organizaciones evaluar el impacto de estas vulnerabilidades en función de su entorno de operaciones, arquitectura e implementación de productos.
Los usuarios que tengan alguna versión del producto afectado deben instalar las actualizaciones de seguridad para mitigar el riesgo de explotación. La versión a instalar que soluciona la vulnerabilidad es la PI Integrator for Business Analytics, versión 2020 R2 SP2 o superior. Para instalarla en los sistemas debe seguir los pasos:
- Acceder a OSISoft Customer Portal
- Registrarse en la página
- Buscar el componente “PI Integrator for Business Analytics”
- Seleccionar la versión 2020 R2 SP2 o superior
De forma adicional, AVEVA recomienda realizar las siguientes medidas defensivas generales:
- Realizar una auditoría para garantizar que solo los usuarios autorizados tengan derecho de acceso a los objetivos de publicación.
- Asegurarse de que los objetivos de publicación de tipo Text File o HDFS se configuran para limitar las extensiones permitidas de archivos de salida y limitar las carpetas de salida para estar lógicamente aislados de componentes críticos del sistema o rutas ejecutables. Enlaces
https://docs.aveva.com/bundle/pi-integrator-for-business-analytics/page/1023019.html
https://docs.aveva.com/bundle/pi-integrator-for-business-anlytics/page/1023009.html - Considerar utilizar Windows Defender Application Control (WDAC) para evitar la ejecución de ejecutables no autorizados.
Cada una ellas consiste en:
- CVE-2025-54460: un atacante autenticado con privilegios para crear o acceder a objetivos de publicación de texto de tipo File o HDFS, puede subir y garantizar la persistencia de archivos que, potencialmente, podrían ser ejecutados.
- CVE-2025-41415: un atacante autenticado con privilegios para acceder a los objetivos de publicación, puede recuperar información sensible que luego pueda utilizarse para obtener acceso adicional a recursos posteriores.
