Múltiples vulnerabilidades en pasarelas WirelessHART de Pepperl+Fuchs

Fecha de publicación: 17/08/2021

Importancia:
Crítica

Recursos afectados:

Los siguientes productos, con la versión de firmware 3.0.7, 3.0.8 o 3.0.9:

• WHA-GW-F2D2-0-AS- Z2-ETH y
• WHA-GW-F2D2-0-AS- Z2-ETH.EIP.

Descripción:

Pepperl+Fuchs, en coordinación con CERT@VDE, ha reportado diecinueve vulnerabilidades, una de severidad crítica, tres de severidad alta, trece de severidad media y dos de severidad baja, que podrían permitir a un atacante remoto causar una condición de denegación de servicio o la ejecución de código.

Solución:

Como solución se recomienda tomar medidas externas:

• Minimizar la exposición en la red de los productos afectados y asegurar que no son accesibles a través de Internet.
• Aislar los productos afectados de la red corporativa.
• Si el acceso remoto es imprescindible, utilizar una VPN.

Detalle:

Una vulnerabilidad de tipo credenciales embebidas en los servicios SSH y Telnet presente en las tres versiones del firmware de los productos afectados, podría permitir a un atacante remoto causar una condición de denegación de servicio o la ejecución de código, mediante el envío de un paquete especialmente diseñado. Se ha asignado el identificador CVE-2021-34565 para esta vulnerabilidad de severidad crítica.

Para las vulnerabilidades de severidad alta se han asignado los identificadores: CVE-2021-33555, CVE-2016-10707 y CVE-2021-34561.

Para las vulnerabilidades de severidad media se han asignado los identificadores: CVE-2020-11023, CVE-2020-11022, CVE-2020-7656, CVE-2019-11358, CVE-2015-9251, CVE-2014-6071, CVE-2012-6708, CVE-2011-4969, CVE-2007-2379, CVE-2021-34559, CVE-2021-34560, CVE-2021-34562 y CVE-2021-34564.

Para las vulnerabilidades de severidad baja se han asignado los identificadores: CVE-2021-34563 y CVE-2013-0169.

Etiquetas:
Comunicaciones, Infraestructuras críticas, Vulnerabilidad