Fecha de publicaciĂłn: 26/10/2022
Importancia:
CrĂtica
Recursos afectados:
Haas Controller, versiĂłn 100.20.000.1110.
DescripciĂłn:
Los investigadores Marco Balduzzi y Francesco Sortino han reportado 3 vulnerabilidades de severidad crĂtica en Haas Controller que podrĂan permitir a un atacante no autorizado causar una denegaciĂłn de servicio, dañar las herramientas utilizadas en la lĂnea de producciĂłn, introducir defectos en piezas y realizar una ejecuciĂłn remota de cĂłdigo.
SoluciĂłn:
Tanto el fabricante como los investigadores aportan una serie de medidas de mitigaciĂłn defensivas que pueden consultarse en la secciĂłn MITIGATIONS del aviso del CISA.
Detalle:
- La autenticaciĂłn no es compatible con la versiĂłn 100.20.000.1110 del controlador Haas cuando se utiliza el servicio ‘Ethernet Q Commands’, lo que podrĂa permitir que cualquier usuario que se encuentre en el mismo segmento de red que el controlador, aunque estĂ© conectado de forma remota, acceda al servicio y escriba macros no autorizadas en el dispositivo. Se ha asignado el identificador CVE-2022-2474 para esta vulnerabilidad.
- La versiĂłn 100.20.000.1110 del controlador Haas tiene una granularidad insuficiente de control de acceso cuando se utiliza el servicio ‘Ethernet Q Commands’. Cualquier usuario podrĂa escribir macros en registros fuera del rango accesible autorizado, lo que podrĂa permitir el acceso a recursos privilegiados o fuera de contexto. Se ha asignado el identificador CVE-2022-2475 para esta vulnerabilidad.
- El trĂĄfico de comunicaciĂłn que implica el servicio ‘Ethernet Q Commands’ del controlador Haas versiĂłn 100.20.000.1110 se transmite en texto claro, lo que podrĂa permite a un atacante obtener informaciĂłn sensible que se transmitiese desde y hacia el controlador. Se ha asignado el identificador CVE-2022-41636 para esta vulnerabilidad.
Etiquetas:
0day, Infraestructuras crĂticas, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.