Roman Lozko

**Nome do software vulnerável e versões afetadas** Versões do Emerson OpenEnterprise até a 3.3.5 **Descrição** Uma criptografia inadequada pode permitir que as credenciais utilizadas pelo Emerson OpenEnterprise para acessar dispositivos de campo e sistemas externos sejam obtidas. **Recomendações** Para as versões do Emerson OpenEnterprise até a 3.3.5, atualize para uma versão posterior à 3.3.5 para garantir a criptografia adequada das credenciais. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões do Emerson OpenEnterprise até a 3.3.4 **Descrição** A criptografia inadequada pode permitir que as senhas das contas de usuário sejam obtidas. **Recomendações** Para as versões do Emerson OpenEnterprise até a 3.3.4, atualize para uma versão que corrija o problema de criptografia inadequada, a fim de impedir que as senhas sejam obtidas.

**Nome do software vulnerável e versões afetadas** Versões do Emerson OpenEnterprise até a 3.3.4 **Descrição** O problema está relacionado a permissões de segurança inadequadas nas pastas, o que pode permitir a modificação de arquivos de configuração importantes. Isso poderia causar falhas no sistema ou um comportamento imprevisível. Um invasor, agindo remotamente, poderia explorar essa vulnerabilidade para causar uma negação de serviço. **Recomendações** Para as versões do Emerson OpenEnterprise até a 3.3.4, considere restringir o acesso a arquivos de configuração importantes para impedir modificações não autorizadas até que um patch esteja disponível. Como solução temporária, revise e reforce as permissões de segurança das pastas para minimizar o risco de exploração.

**Nome do software vulnerável e versões afetadas** Versões do Emerson OpenEnterprise até a 3.3.4 **Descrição** O problema está relacionado à implementação incorreta do mecanismo de autenticação na plataforma SCADA Emerson OpenEnterprise para aplicações remotas de petróleo e gás. Isso pode permitir que um invasor execute comandos arbitrários com privilégios de sistema ou execute código remotamente por meio de um serviço de comunicação específico, enviando uma mensagem de serviço maliciosa especialmente criada. **Recomendações** Para as versões do Emerson OpenEnterprise até a 3.3.4, considere desativar o serviço de comunicação específico que permite a execução remota de código até que uma correção esteja disponível. Restrinja o acesso ao sistema para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Emerson OpenEnterprise SCADA Server versão 2.83 Emerson OpenEnterprise versões 3.1 a 3.3.3 **Descrição** Uma vulnerabilidade de estouro de buffer baseada em heap permite que um script especialmente criado execute código no servidor OpenEnterprise. Essa vulnerabilidade está presente quando as interfaces Modbus ou ROC foram instaladas e estão em uso. **Recomendações** Para o servidor SCADA Emerson OpenEnterprise versão 2.83, atualize o sistema para impedir a exploração da vulnerabilidade de estouro de buffer baseada em heap. Para as versões 3.1 a 3.3.3 do Emerson OpenEnterprise, atualize o sistema para impedir a exploração da vulnerabilidade de estouro de buffer baseado em heap. Como solução alternativa temporária, considere restringir o acesso às interfaces Modbus ou ROC até que um patch esteja disponível.