Fecha de publicaciĂłn: 07/01/2022
Importancia:
Alta
Recursos afectados:
- MĂłdulo CPU MICROSmart All-in-One FC6A: v2.32 y anteriores;
- MĂłdulo CPU MICROSmart All-in-One FC6B: v2.31 y anteriores;
- MĂłdulo CPU FC6A MICROSmart Plus: v1.91 y anteriores;
- MĂłdulo CPU FC6B MICROSmart Plus: v2.31 y anteriores;
- Controlador FT1A SmartAXIS Pro/Lite: v2.31 y anteriores;
- WindLDR: v8.19.1 y anteriores;
- WindEDIT Lite: v1.3.1 y anteriores;
- Data File Manager: v2.12.1 y anteriores;
- MĂłdulo de CPU FC6A MICROSmart All-in-One: v2.32 y anteriores;
- MĂłdulo de CPU FC6A MICROSmart Plus: v1.91 y anteriores;
- WindLDR: v8.19.1 y anteriores;
- WindEDIT: Lite v1.3.1 y anteriores;
- Data File Manager: v2.12.1 y anteriores.
DescripciĂłn:
Khalid Ansari, de FM Approvals, informĂł a IDEC Corporation de estas 4 vulnerabilidades de severidad alta por las que un atacante podrĂa acceder a credenciales desprotegidas y al almacenamiento en texto plano de contraseñas.
SoluciĂłn:
Aplicar la actualizaciĂłn de software adecuada segĂșn la informaciĂłn proporcionada por el desarrollador.
Detalle:
- ObtenciĂłn de las credenciales de usuario de la comunicaciĂłn entre el PLC y el software. Como resultado, el programa de usuario del PLC puede ser cargado, alterado y/o descargado. Se ha asignado el identificador CVE-2021-37400 para esta vulnerabilidad.
- ObtenciĂłn de las credenciales de usuario de servidores de archivos, repositorios de copias de seguridad o archivos ZLD guardados en tarjetas SD. Como resultado, el programa de usuario del PLC puede ser cargado, alterado y/o descargado. Se ha asignado el identificador CVE-2021-37401 para esta vulnerabilidad.
- ObtenciĂłn de las credenciales de usuario del servidor web del PLC a partir de la comunicaciĂłn entre el PLC y el software. Como resultado, se pueden obtener los privilegios de acceso completos al servidor web del PLC, y se puede manipular la salida del PLC y/o suspenderlo. Se ha asignado el identificador CVE-2021-20826 para esta vulnerabilidad.
- ObtenciĂłn de las credenciales de usuario del servidor web del PLC a partir de servidores de archivos, repositorios de copias de seguridad o archivos ZLD guardados en tarjetas SD. Como resultado, el atacante puede acceder al servidor web del PLC y secuestrar el PLC, pudiendo manipular la salida del PLC y/o suspenderlo. Se ha asignado el identificador CVE-2021-20827 para esta vulnerabilidad.
Etiquetas:
ActualizaciĂłn, Infraestructuras crĂticas, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.