PT-2022-16605 · Schneider Electric · Ecostruxure Geo Scada Expert 2020+2
Cameron Stokes
·
Publicado
2022-02-09
·
Atualizado
2022-04-22
·
CVE-2022-24320
CVSS v2.0
4.3
Média
| Vetor | AV:N/AC:M/Au:N/C:P/I:N/A:N |
Nome do software vulnerável e versões afetadas
ClearSCADA (todas as versões)
EcoStruxure Geo SCADA Expert 2019 (todas as versões)
EcoStruxure Geo SCADA Expert 2020 (todas as versões)
Descrição
Existe uma vulnerabilidade CWE-295: Validação inadequada de certificados, permitindo um ataque Man-in-the-Middle quando as comunicações entre o cliente e o servidor de banco de dados Geo SCADA são interceptadas. Isso pode comprometer a segurança dos dados que estão sendo transmitidos.
Recomendações
Para o ClearSCADA, considere implementar uma validação adequada de certificados para prevenir ataques Man-in-the-Middle.
Para o EcoStruxure Geo SCADA Expert 2019, certifique-se de que todas as comunicações com o servidor de banco de dados Geo SCADA sejam criptografadas e validadas de forma segura.
Para o EcoStruxure Geo SCADA Expert 2020, restrinja o acesso ao servidor de banco de dados Geo SCADA para minimizar o risco de exploração até que uma correção adequada seja aplicada.
Como solução alternativa temporária, considere desativar a comunicação entre o cliente e o servidor de banco de dados Geo SCADA até que um patch esteja disponível.
Correção
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Clearscada
Ecostruxure Geo Scada Expert 2019
Ecostruxure Geo Scada Expert 2020