MĂșltiples vulnerabilidades en productos CODESYS

Fecha de publicaciĂłn: 27/06/2022

Importancia:
CrĂ­tica

Recursos afectados:

  • CODESYS Runtime Toolkit 32 bit full y CODESYS PLCWinNT, versiones anteriores a 2.4.7.57;
  • CODESYS Development System, versiones anteriores a 2.3.9.69;
  • CODESYS Gateway Client y Server, versiones anteriores a 2.3.9.38;
  • CODESYS Web server, versiones anteriores a 1.1.9.23;
  • CODESYS SP Realtime NT, versiones anteriores a 2.3.7.30;
  • versiones anteriores a 3.5.18.30 de los productos:
    • CODESYS Development System,
    • CODESYS Gateway,
    • CODESYS Edge Gateway para Windows,
    • CODESYS HMI (SL),
    • CODESYS OPC DA Server SL,
    • CODESYS PLCHandler.

DescripciĂłn:

Se han identificado 14 vulnerabilidades en productos CODESYS, de severidades críticas y altas, que afectan al servidor de comunicación del protocolo CODESYS, permitiendo la transmisión de credenciales en texto claro y el envío de peticiones especialmente diseñadas para consumir recursos.

SoluciĂłn:

CODESYS ha publicado versiones actualizadas de los productos afectados para corregir estas vulnerabilidades, que se pueden consultar en la secciĂłn Available software updates y descargar desde la pĂĄgina de descargas del fabricante.

Detalle:

  • El envĂ­o de peticiones especialmente diseñadas podrĂ­a causar la eliminaciĂłn de archivos, una condiciĂłn de denegaciĂłn de servicio (DoS), desbordamiento de bĂșfer, lectura fuera de lĂ­mites y acceso de lectura/escritura a ficheros internos. Se han asignado los identificadores CVE-2022-1965, CVE-2022-32136, CVE-2022-32137, CVE-2022-32138, CVE-2022-32139, CVE-2022- 32140, CVE-2022-32141, CVE-2022-32142 y CVE-2022-32143 para estas vulnerabilidades.
  • La transmisiĂłn de credenciales en texto claro, o directamente la falta de un mĂ©todo de protecciĂłn para las contraseñas, podrĂ­an permitir a un atacante obtener dicha informaciĂłn mediante el anĂĄlisis del trĂĄfico en la comunicaciĂłn entre cliente y servidor. Se han asignado los identificadores CVE-2022-31805 y CVE-2022-31806 para estas vulnerabilidades.
  • La explotaciĂłn de estas vulnerabilidades podrĂ­a permitir a un atacante omitir la autenticaciĂłn, consumir los recursos de conexiones TCP y causar una condiciĂłn de desbordamiento de memoria. Se han asignado los identificadores CVE-2022-31802, CVE-2022-31803 y CVE-2022-31804 para estas vulnerabilidades.

Encuesta valoraciĂłn

Etiquetas:
ActualizaciĂłn, Comunicaciones, Infraestructuras crĂ­ticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.