Facebook Instagram Linkedin
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Múltiples vulnerabilidades en productos CODESYS

In Noticias y Avisos CiberseguridadPosted

Fecha de publicación: 27/06/2022

Importancia:
Crítica

Recursos afectados:

  • CODESYS Runtime Toolkit 32 bit full y CODESYS PLCWinNT, versiones anteriores a 2.4.7.57;
  • CODESYS Development System, versiones anteriores a 2.3.9.69;
  • CODESYS Gateway Client y Server, versiones anteriores a 2.3.9.38;
  • CODESYS Web server, versiones anteriores a 1.1.9.23;
  • CODESYS SP Realtime NT, versiones anteriores a 2.3.7.30;
  • versiones anteriores a 3.5.18.30 de los productos:
    • CODESYS Development System,
    • CODESYS Gateway,
    • CODESYS Edge Gateway para Windows,
    • CODESYS HMI (SL),
    • CODESYS OPC DA Server SL,
    • CODESYS PLCHandler.

Descripción:

Se han identificado 14 vulnerabilidades en productos CODESYS, de severidades críticas y altas, que afectan al servidor de comunicación del protocolo CODESYS, permitiendo la transmisión de credenciales en texto claro y el envío de peticiones especialmente diseñadas para consumir recursos.

Solución:

CODESYS ha publicado versiones actualizadas de los productos afectados para corregir estas vulnerabilidades, que se pueden consultar en la sección Available software updates y descargar desde la página de descargas del fabricante.

Detalle:

  • El envío de peticiones especialmente diseñadas podría causar la eliminación de archivos, una condición de denegación de servicio (DoS), desbordamiento de búfer, lectura fuera de límites y acceso de lectura/escritura a ficheros internos. Se han asignado los identificadores CVE-2022-1965, CVE-2022-32136, CVE-2022-32137, CVE-2022-32138, CVE-2022-32139, CVE-2022- 32140, CVE-2022-32141, CVE-2022-32142 y CVE-2022-32143 para estas vulnerabilidades.
  • La transmisión de credenciales en texto claro, o directamente la falta de un método de protección para las contraseñas, podrían permitir a un atacante obtener dicha información mediante el análisis del tráfico en la comunicación entre cliente y servidor. Se han asignado los identificadores CVE-2022-31805 y CVE-2022-31806 para estas vulnerabilidades.
  • La explotación de estas vulnerabilidades podría permitir a un atacante omitir la autenticación, consumir los recursos de conexiones TCP y causar una condición de desbordamiento de memoria. Se han asignado los identificadores CVE-2022-31802, CVE-2022-31803 y CVE-2022-31804 para estas vulnerabilidades.

Encuesta valoración

Etiquetas:
Actualización, Comunicaciones, Infraestructuras críticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.