Vulnerabilități critice descoperite în sistemele de date oceanice Raport de vis 2023

Vulnerabilități critice descoperite în sistemele de date oceanice Raport de vis 2023

Ocean Data Systems’ Dream Report 2023, un software de generare și livrare de rapoarte, a fost găsit ca conținând vulnerabilități critice. Versiunile afectate includ Dream Report 2023 versiunea 23.0.17795.1010 și anterioare, precum și AVEVA Reports for Operations 2023 versiunea 23.0.17795.1010. Vulnerabilitățile identificate sunt Path Traversal (CVE-2024-6618) și Incorrect Permission Assignment for Critical Resource (CVE-2024-6619). Aceste vulnerabilități ar putea permite atacatorilor să efectueze executarea codului de la distanță, să escaladeze privilegiile și să provoace condiții de negare a serviciului.

Produse

Dream Report

Versiune: 23.0.17795.1010 și anterioare

Vendor: Ocean Data Systems

CVEs: CVE-2024-6618, CVE-2024-6619

Rapoarte AVEVA pentru operațiuni

Versiune: 23.0.17795.1010

Vendor: AVEVA

CVEs: CVE-2024-6618, CVE-2024-6619

Vulnerabilități

Limitarea improprie a unui nume de cale către un director restricționat (“Path Traversal”)

CVE: CVE-2024-6618

Scor CVSSv3: 7.8 - Ridicat

Vector CVSSv3: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Scor CVSSv4: 8.5 - Ridicat

Vector CVSSv4: CVSS4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

CWE: CWE-22

Descriere: În Ocean Data Systems Dream Report, o vulnerabilitate de traversare a căii ar putea permite unui atacator să efectueze execuția codului de la distanță prin injectarea unei biblioteci dynamic-link (DLL) rău intenționate.

Impact: Exploatarea cu succes a acestei vulnerabilități ar putea permite unui atacator să execute cod de la distanță.

Mitigare: Ocean Data Systems recomandă utilizatorilor actualizarea la Dream Report 2023 R2: Versiunea 23.3.18952.0523.

Atribuire incorectă a permisiunilor pentru resurse critice

CVE: CVE-2024-6619

Scor CVSSv3: 7.8 - Ridicat

Vector CVSSv3: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Scor CVSSv4: 8.5 - Ridicat

Vector CVSSv4: CVSS4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

CWE: CWE-732

Descriere: În Ocean Data Systems Dream Report, o vulnerabilitate de permisiune incorectă ar putea permite unui atacator local neprivilegiat să își escaladeze privilegiile și ar putea cauza o negare a serviciului.

Impact: Exploatarea cu succes a acestei vulnerabilități ar putea permite unui atacator local neprivilegiat să își escaladeze privilegiile și să provoace o stare de negare a serviciului.

Mitigare: Ocean Data Systems recomandă utilizatorilor actualizarea la Dream Report 2023 R2: Versiunea 23.3.18952.0523.

Concluzie

Descoperirea acestor vulnerabilități în Ocean Data Systems Dream Report 2023 subliniază importanța actualizărilor software în timp util și a măsurilor robuste de securitate cibernetică. Utilizatorii sunt sfătuiți să actualizeze la cele mai recente versiuni - Dream Report 2023 R2 și AVEVA Reports for Operations 2023 R2 - pentru a reduce riscurile potențiale. În plus, organizațiile ar trebui să pună în aplicare strategiile de securitate cibernetică recomandate, cum ar fi minimizarea expunerii la rețea, utilizarea firewall-urilor și utilizarea unor metode sigure de acces de la distanță, cum ar fi VPN-urile. Nu a fost raportată nicio exploatare publică a acestor vulnerabilități, însă măsurile proactive sunt esențiale pentru protejarea sectoarelor de infrastructură critică.

Referințe

  1. https://www.cisa.gov/news-events/ics-advisories/icsa-24-226-08

  2. CVE-2024-6618

  3. CVE-2024-6619

  4. CWE-732

  5. CWE-22

Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.

Vulnerabilități critice descoperite în sistemele de date oceanice Raport de vis 2023
Vulnerabilități critice descoperite în sistemele de date oceanice Raport de vis 2023