Múltiples vulnerabilidades en productos de Aveva

Fecha de publicación 14/08/2024
Importancia
4 - Alta
Recursos Afectados
  • SuiteLink: versiones 3.7.0 y anteriores.
  • Historian: versiones 2023 R2 P01 y anteriores, 2023 R2, 2023 hasta 2023 P03 y 2020 R2 hasta 2020 R2 SP1 P01.
  • InTouch: versiones 2023 R2 P01 y anteriores.
  • Application Server: versiones 2023 R2 P01 y anteriores.
  • Communication Drivers Pack: versiones 2023 R2 y anteriores.
  • Batch Management: versiones 2023 y anteriores.
  • Reports for Operations versiones anteriores a 2023 R2.
Descripción

Aveva ha publicado 3 avisos de seguridad, uno de ellos también publicado por CISA, donde corrige 4 vulnerabilidades altas que afectan a sus productos.

Además, los siguientes investigadores y equipos han colaborado en la investigación de las vulnerabilidades: Idaho National Laboratory (como parte del programa CESER's CyTRICS del D.O.E.) , Maurizio Gatti de Accenture S.p.A, Team82 de Claroty y Ocean Data Systems.

Solución

AVEVA recomienda que las organizaciones evalúen el impacto de estas vulnerabilidades basándose en su entorno operativo, arquitectura e implementación del producto. Los usuarios con las versiones de producto afectadas deben aplicar las actualizaciones de seguridad lo antes posible.

  • Reports for Operations: actualizar, a las versiones 2023 R2 o posterior.
  • Historian: actualizar AVEVA System Platform a las versiones 2023 R2 P01 o posteriores.

El resto de productos y las versiones afectados se pueden corregir instalando SuiteLink v3.7.100.

Detalle
  • CVE-2024-6456: una vulnerabilidad de inyección SQL, si se explota, podría permitir a un malhechor leer y escribir un proyecto de AVEVA Reports for Operations y/o manipular los archivos de instalación. La vulnerabilidad, si se explota, podría permitir que un comando SQL malicioso se ejecute bajo los privilegios de un usuario interactivo de Historian REST Interface que haya sido manipulado socialmente por un atacante para abrir una URL especialmente diseñada.
  • CVE-2024-6618: la vulnerabilidad se debe a una limitación insuficiente de un pathname hacia un directorio restringido, si se explota, podría permitir a un atacante ejecutar código arbitrario bajo los privilegios de un usuario interactivo de AVEVA Reports for Operations.
  • CVE-2024-6619: la vulnerabilidad se debe a la incorrecta asignación de permisos en un recurso crítico, si se explota, podría permitir a un atacante leer y escribir un proyecto de AVEVA Reports for Operations y/o manipular los archivos de instalación.
  • CVE-2024-7113: la vulnerabilidad de asignación de recursos sin límites ni restricciones, si se explota, podría hacer que un servidor SuiteLink consumiera excesivos recursos del sistema y ralentizara el procesamiento de E/S de datos durante la duración del ataque.