======================================================================

原文地址：http://ics-cert.us-cert.gov/advisories/ICSA-14-023-01

譯文地址：http://www.ics-cert.com.cn/?p=182

譯文地址：http://blog.csdn.net/icscert/article/details/18884353

譯文作者：ICS-CERT

======================================================================

概述

來自零日計劃（Zero Day Initiative）的兩位研究者amisto0x07和Z0mb1E發現了通用電氣（GE）的Proficy人機接口SCADA軟件CIMPLICITY中的的兩個漏洞。GE已經發布了安全公告，GEIP13-05和GEIP13-06來通知用戶關于這些漏洞。

這些漏洞可以被遠程利用。

影響產品

如下的GE智能平臺產品將受到影響：

• Proficy HMI/SCADA – CIMPLICITY，版本4.01到8.2
• 包含CIMPLICITY的Proficy過程系統.

影響范圍

CIMPLICITY CimWebServer沒有檢查shell文件的位置，可能會允許未經身份驗證的用戶從遠程加載shell代碼，而不是從本地默認路徑。

對于每個組織機構的影響取決于每個組織特有的多方面因素。NCCIC/ICS-CERT建議各組織機構基于自身的操作環境、架構和產品情況來評估這些漏洞產生的影響。

背景

GE是一家美國公司，在全球都有其分支機構，GE的Proficy HMI/SCADA – CIMPLICITY是一個C/S架構的HMI/SCADA程序，在多個行業部署。

漏洞特征

漏洞概述

路徑遍歷a

CIMPLICITY CimWebServer中的gefebt.exe組件沒有對加載到系統中的shell文件的位置進行檢查。通過修改源位置，攻擊者可以像CimWebServer發送shellcode，這可以將惡意文件部署為服務器端的腳本。這使得攻擊者執行任意代碼。

這一漏洞被定義為CVE-2014-0750b.CVSS v2 分數為7.5; CVSS向量字符串為(AV:N/AC:L/Au:N/C:P/I:P/A:P).c

路徑遍歷d

基于Web的CIMPLICITY組件，CimWebServer沒有對加載到系統中的shell文件的位置進行檢查。通過修改源位置，攻擊者可以向CimWebServer發送shellcode，從而將文件部署在SCADA項目中的一部分。從而使得攻擊者執行任意代碼。

這一漏洞被定義為CVE-2014-0751e?.CVSS v2 分數為6.8; CVSS向量字符串為(AV:N/AC:M/Au:N/C:P/I:P/A:P).f

漏洞詳細信息

可利用性

這些漏洞可以被遠程利用

Exp代碼

目前還沒有發現針對此漏洞的Exp代碼被公布出來。

難度

具有中等技術水平的攻擊者可以利用這些漏洞。

解決辦法

GE已經發布了更新版，來修補其中一個漏洞，通過修改配置來修補另外一個漏洞。請參照GE的產品安全公告，GEIP13-5。

為了修補這一漏洞，所有的由gefebt.exe拷貝的文件，并由Web客戶端可以訪問的文件，必須全部刪除或移除，從而使得他們不可訪問。如果Web配置當前依賴gefebt.exe，修改Web服務器的網頁也是可取的。

GE產品安全公告，提供了額外的指南，參考如下：

http://support.ge-ip.com/support/index?page=kbchannel&id=KB15939

GEIP13-06

下載Proficy HMI/SCADA - CIMPLICITY 8.2 SIM 24在此路徑下：

http://support.ge-ip.com/support/index?page=dwchannel&id=DN4128

GE產品安全公告在此：

http://support.ge-ip.com/support/index?page=kbchannel&id=KB15940

NCCIC/ICS-CERT鼓勵所有者采取額外的措施來保護這些風險及其他的安全風險。

• 盡可能的少暴露控制系統設備或系統自身的網絡，并確保他們不被互聯網訪問。
• 在本地控制系統網絡和遠程設備之間部署防火墻，并將控制網絡與企業網絡隔離。
• 如果需要遠程訪問，采用安全的方法，例如VPN，VPN被認為是唯一安全的訪問方式。

NCCIC/ICS-CERT當然還提供了針對工業控制信息安全方面的建議在此路徑下：

http://ics-cert.us-cert.gov/content/recommended-practices.

很多建議是可以讀的，并且可以下載，包括《采用縱深防御策略來提高工業控制系統信息安全》。 NCCIC/ICS-CERT 建議各部門進行在部署安全防御時，先適當的進行安全分析和風險評估。

其他相關的解決方案指導和建議發布在了NCCIC/ICS-CERT的技術信息文章上，ICS-TIP-12-146-01Bg，該文章可以在NCCIC/ICS-CERT的網站上下載。

各組織機構如果發現了一些有惡意嫌疑的程序，可以將其報告給NCCIC/ICS-CERT來跟蹤和對應這些意外。

參考文檔：

• a.CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal'),http://cwe.mitre.org/data/definitions/22.html, Web site last accessed January 23, 2014.
• b.NVD,?http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0750, NIST uses this advisory to create the CVE Web site report. This Web site will be active sometime after publication of this advisory.
• c.CVSS Calculator,?http://nvd.nist.gov/cvss.cfm?version=2&vector=AV:N/AC:L/Au:N/C:P/I:P/A:P, Web site last accessed January 23, 2014.
• d.CWE-22: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal'),http://cwe.mitre.org/data/definitions/22.html, Web site last accessed January 23, 2014.
• e.NVD,?http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0751, NIST uses this advisory to create the CVE Web site report. This Web site will be active sometime after publication of this advisory.
• f.CVSS Calculator,?http://nvd.nist.gov/cvss.cfm?version=2&vector=AV:N/AC:M/Au:N/C:P/I:P/A:P, Web site last accessed January 23, 2014.

總結

以上是生活随笔為你收集整理的GE Proficy多个漏洞的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。