PT-2022-3163 · Emerson · Emerson Deltav Distributed Control System
Daniel Dos Santos
+1
·
Publicado
2022-06-22
·
Atualizado
2023-01-24
·
CVE-2022-29965
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:N/C:C/I:P/A:P |
Nome do software vulnerável e versões afetadas
Controladores e placas de E/S do Sistema de Controle Distribuído (DCS) Emerson DeltaV até 29/04/2022
Descrição
O problema diz respeito ao uso indevido de senhas no Sistema de Controle Distribuído Emerson DeltaV. O acesso a operações privilegiadas na interface TELNET da porta de manutenção nos nós da série M e SIS é controlado por senhas de utilitário geradas usando um algoritmo determinístico e inseguro. Esse algoritmo utiliza um único valor de semente com menos de 16 bits de entropia, facilitando que um invasor reconstrua as senhas e obtenha acesso a operações de manutenção privilegiadas. A vulnerabilidade está relacionada ao uso de algoritmos criptográficos defeituosos, o que pode permitir que um invasor remoto acesse a interface do sistema.
Recomendações
Para controladores e placas de E/S do Sistema de Controle Distribuído (DCS) Emerson DeltaV até 29/04/2022, considere desativar a interface TELNET na porta de manutenção como uma solução temporária para minimizar o risco de exploração. Restrinja o acesso à porta de manutenção para impedir o acesso não autorizado até que um algoritmo seguro de geração de senhas seja implementado.
Correção
Use of a Broken Cryptographic Algorithm
Inadequate Encryption Strength
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Emerson Deltav Distributed Control System