Vie, 04/08/2023 – 08:59
- CODESYS Development System, versiones desde 3.5.11.0 hasta la anterior a 3.5.19.20.
- Todas las versiones de los productos:
- CODESYS Control para BeagleBone SL;
- CODESYS Control para emPC-A/iMX6 SL;
- CODESYS Control para IOT2000 SL;
- CODESYS Control para Linux SL;
- CODESYS Control para PFC100 SL;
- CODESYS Control para PFC200 SL;
- CODESYS Control para PLCnext SL;
- CODESYS Control para Raspberry Pi SL;
- CODESYS Control para WAGO Touch Panels 600 SL;
- CODESYS Control RTE (para Beckhoff CX) SL;
- CODESYS Control RTE (SL);
- CODESYS Control Runtime System Toolkit;
- CODESYS Control Win (SL);
- CODESYS HMI (SL).
CODESYS también se utiliza en muchos productos vendidos por otros proveedores, asà como en varios sectores de la industria de la automatización por los fabricantes de controladores industriales o dispositivos de automatización inteligentes y por los usuarios finales de diferentes industrias, incluidos algunos integradores de sistemas.
Los investigadores Carlo Di Dato, de Deloitte; Risk Advisory Italia (Vulnerability Research Team), y Sina Kheirkhah, de Summoning Team, en colaboraciĂłn con ZDI, de Trend Micro, y Reid Wightman, de Dragos, todos ellos coordinados por el CERT@VDE, han reportado 4 vulnerabilidades de severidad alta que afectan a productos de CODESYS.
- Actualizar CODESYS Development System a la versiĂłn 3.5.19.20.
- Utilizar la gestiĂłn de usuarios en lĂnea en CODESYS Control Runtime, que desde la versiĂłn 3.5.17.0 estĂĄ activada por defecto.
Los proveedores de sistemas de control deben revisar sus productos, identificar aquellos que incorporan el software afectado y tomar las medidas adecuadas para actualizar sus productos y notificar a los clientes. Por lo tanto, se recomienda consultar también los avisos de seguridad del fabricante para obtener mås información.
- La vulnerabilidad podrĂa permitir la ejecuciĂłn de binarios desde el directorio de trabajo actual en el contexto del usuario. Se ha asignado el identificador CVE-2023-3662 para esta vulnerabilidad.
- Una falta de comprobaciĂłn de integridad podrĂa permitir a un atacante remoto no autenticado manipular el contenido de las notificaciones recibidas a travĂ©s de HTTP por el servidor de notificaciones. Se ha asignado el identificador CVE-2023-3663 para esta vulnerabilidad.
- La restricciĂłn inadecuada de las operaciones dentro de los lĂmites de un bĂșfer de memoria podrĂa permitir a un atacante remoto con privilegios de usuario obtener acceso completo del dispositivo. Se ha asignado el identificador CVE-2022-4046 para esta vulnerabilidad.
- El checksum del código de aplicación PLC ejecutado por CODESYS Control Runtime no es suficiente para detectar de forma fiable que dicho código se haya modificado en la memoria o también archivos de arranque que se hayan manipulado. Se ha asignado el identificador CVE-2023-28355 para esta vulnerabilidad.
Ir a la fuente
Author:
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.