Facebook Instagram Linkedin

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

MĂșltiples vulnerabilidades en PLCs de IDEC

In Noticias y Avisos CiberseguridadPosted

Fecha de publicaciĂłn: 07/01/2022

Importancia:
Alta

Recursos afectados:

  • MĂłdulo CPU MICROSmart All-in-One FC6A: v2.32 y anteriores;
  • MĂłdulo CPU MICROSmart All-in-One FC6B: v2.31 y anteriores;
  • MĂłdulo CPU FC6A MICROSmart Plus: v1.91 y anteriores;
  • MĂłdulo CPU FC6B MICROSmart Plus: v2.31 y anteriores;
  • Controlador FT1A SmartAXIS Pro/Lite: v2.31 y anteriores;
  • WindLDR: v8.19.1 y anteriores;
  • WindEDIT Lite: v1.3.1 y anteriores;
  • Data File Manager: v2.12.1 y anteriores;
  • MĂłdulo de CPU FC6A MICROSmart All-in-One: v2.32 y anteriores;
  • MĂłdulo de CPU FC6A MICROSmart Plus: v1.91 y anteriores;
  • WindLDR: v8.19.1 y anteriores;
  • WindEDIT: Lite v1.3.1 y anteriores;
  • Data File Manager: v2.12.1 y anteriores.

DescripciĂłn:

Khalid Ansari, de FM Approvals, informó a IDEC Corporation de estas 4 vulnerabilidades de severidad alta por las que un atacante podría acceder a credenciales desprotegidas y al almacenamiento en texto plano de contraseñas.

SoluciĂłn:

Aplicar la actualizaciĂłn de software adecuada segĂșn la informaciĂłn proporcionada por el desarrollador.

Detalle:

  • ObtenciĂłn de las credenciales de usuario de la comunicaciĂłn entre el PLC y el software. Como resultado, el programa de usuario del PLC puede ser cargado, alterado y/o descargado. Se ha asignado el identificador CVE-2021-37400 para esta vulnerabilidad.
  • ObtenciĂłn de las credenciales de usuario de servidores de archivos, repositorios de copias de seguridad o archivos ZLD guardados en tarjetas SD. Como resultado, el programa de usuario del PLC puede ser cargado, alterado y/o descargado. Se ha asignado el identificador CVE-2021-37401 para esta vulnerabilidad.
  • ObtenciĂłn de las credenciales de usuario del servidor web del PLC a partir de la comunicaciĂłn entre el PLC y el software. Como resultado, se pueden obtener los privilegios de acceso completos al servidor web del PLC, y se puede manipular la salida del PLC y/o suspenderlo. Se ha asignado el identificador CVE-2021-20826 para esta vulnerabilidad.
  • ObtenciĂłn de las credenciales de usuario del servidor web del PLC a partir de servidores de archivos, repositorios de copias de seguridad o archivos ZLD guardados en tarjetas SD. Como resultado, el atacante puede acceder al servidor web del PLC y secuestrar el PLC, pudiendo manipular la salida del PLC y/o suspenderlo. Se ha asignado el identificador CVE-2021-20827 para esta vulnerabilidad.

Encuesta valoraciĂłn

Etiquetas:
ActualizaciĂłn, Infraestructuras crĂ­ticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.