漏洞风险提示（20220228）

发表于 2022-2-28 09:20

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

1 GE Proficy CIMPLICITY-IPM本地权限提升漏洞（CVE-2022-23921）
一、漏洞描述：

GE Proficy CIMPLICITY-IPM是GE用于本地和云存储的分析。
GE Proficy CIMPLICITY-IPM存在安全漏洞，利用此漏洞可能会导致本地权限提升和代码执行。只有在攻击者能够登录访问正在运行 CIMPLICITY 的机器、CIMPLICITY 服务器尚未运行项目且服务器已获得多个项目许可的情况下，才有可能利用此漏洞。
二、风险等级：
高危
三、影响范围：
Proficy CIMPLICITIY <= v11.1
四、修复建议：
目前官方已发布更新补丁，受影响用户可升级至安全版本。参考链接：
https://www.cisa.gov/uscert/ics/advisories/icsa-22-053-01

2 General Electric Proficy Cimplicity凭据明文传输漏洞（CVE-2022-21798）
一、漏洞描述：

General Electric Proficy Cimplicity（Ge Proficy Cimplicity）是美国General Electric公司的一个基于客户端/服务器的 Hmi/Scada 解决方案。用于收集和共享所有业务级别的实时和历史数据，并提供可操作的可见性来监控和控制工厂流程、设备和资源。
General Electric Proficy Cimplicity 存在安全漏洞，该漏洞源于在CIMPLICITY网络中可以看到凭据的明文传输。攻击者可利用该漏洞登录系统进行操作更改。
二、风险等级：
高危
三、影响范围：
Proficy CIMPLICITY All versions
四、修复建议：
目前官方已发布更新补丁，受影响用户可升级至安全版本。参考链接：
https://us-cert.cisa.gov/ics/advisories/icsa-22-053-02

3 Cisco NX-OS Software资源管理错误漏洞（CVE-2022-20624）
一、漏洞描述：

Cisco NX-OS Software是美国思科（Cisco）公司的一套交换机使用的数据中心级操作系统软件。
Cisco NX-OS Software 存在资源管理错误漏洞，该漏洞源于Cisco NX-OS软件的Cisco Fabric Services over IP (CFSoIP)特性存在漏洞。攻击者可利用该漏洞在受影响的设备上造成拒绝服务(DoS)状况。
二、风险等级：
高危
三、影响范围：
Nexus 3000 Series Switches (CSCvy95696)
Nexus 9000 Series Switches in standalone NX-OS mode (CSCvy95696)
UCS 6400 Series Fabric Interconnects (CSCvy95840)
四、修复建议：
目前官方已发布更新补丁，受影响用户可升级至安全版本。参考链接：
https://tools.cisco.com/security ... -cfsoip-dos-tpykyDr

4 Cisco NX-OS Software Nexus 9000资源管理错误漏洞（CVE-2022-20623）
一、漏洞描述：

Cisco NX-OS Software是美国思科（Cisco）公司的一套交换机使用的数据中心级操作系统软件。
Cisco NX-OS Software for Cisco Nexus 9000 Series Switches存在资源管理错误漏洞，该漏洞源于BFD速率限制器功能中的逻辑错误。攻击者可利用该漏洞通过发送精心编制的流量流来导致拒绝服务（DoS）。
二、风险等级：
高危
三、影响范围：
Cisco Nexus 9000
四、修复建议：
目前官方已发布更新补丁，受影响用户可升级至安全版本。参考链接：
https://tools.cisco.com/security ... os-bfd-dos-wGQXrzxn

		自动登录	找回密码
密码			注册创意安天