Опасные уязвимости в Emerson OpenEnterprise

В решении OpenEnterprise SCADA Software (версии до 3.3.4) производства Emerson выявлены опасные уязвимости. Эксплуатация этих уязвимостей может позволить злоумышленнику получить доступ к сервисам конфигурации OpenEnterprise или паролям для учетных записей пользователей.

Наиболее опасной является уязвимость CVE-2020-10640, которая получила максимальную оценку по шкале CVSS v.3 – 10 баллов. Эта уязвимость связана с отсутствием аутентификации для критической функции и может привести к удаленному выполнению кода или запуску произвольных команд с системными привилегиями.

Другая проблема, CVE-2020-10632, из-за некорректных разрешений для каталогов может привести к изменению важных файлов конфигурации, следствием чего может стать сбой системы или ее непредсказуемое поведение. Эта уязвимость получила оценку 8,8 балла по шкале CVSS v.3.

Последняя уязвимость, CVE-2020-10636, связана с некорректным шифрованием и может позволить злоумышленнику получить доступ к паролям пользователей. По шкале CVSS v.3 эта уязвимость получила оценку 6,5 балла.

Для устранения уязвимостей Emerson рекомендует всем пользователям установить пакеты обновлений OpenEnterprise 3.3, Service Pack 5 (3.3.5).

Источники: Kaspersky ICS CERT, ICS-CERT