Deserialización de datos no fiables en productos Rockwell Automation

Fecha de publicación: 06/04/2022

Importancia:
Alta

Recursos afectados:

  • Connected Component Workbench, versión 13.00.00 y anteriores;
  • ISaGRAF Workbench, desde la versión 6.0 hasta la 6.6.9;
  • Safety Instrumented Systems Workstation, versión 1.2 y anteriores (para Trusted Controllers).

Descripción:

El investigador kimiya, trabajando con ZDI de Trend Micro, ha reportado una vulnerabilidad de severidad alta que podría permitir a un atacante ejecutar código arbitrario.

Solución:

Rockwell Automation recomienda a los usuarios actualizar a la versión 20.00 o posterior.

Para ISaGRAF Workbench y Safety Instrumented Systems Workstation, Rockwell Automation recomienda a los usuarios aplicar las medidas de mitigación descritas en el aviso de CISA.

Detalle:

Varios productos de Rockwell Automation no limitan los objetos que pueden ser deserializados. Esta situación podría permitir a un atacante crear un objeto serializado malicioso que, si es abierto por un usuario local en Connected Components Workbench, podría resultar en la ejecución de código arbitrario. Se ha asignado el identificador CVE-2022-1118 para esta vulnerabilidad.

Encuesta valoración

Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.