Fecha de publicaciĂłn: 27/06/2022
Importancia:
CrĂtica
Recursos afectados:
- CODESYS Runtime Toolkit 32 bit full y CODESYS PLCWinNT, versiones anteriores a 2.4.7.57;
- CODESYS Development System, versiones anteriores a 2.3.9.69;
- CODESYS Gateway Client y Server, versiones anteriores a 2.3.9.38;
- CODESYS Web server, versiones anteriores a 1.1.9.23;
- CODESYS SP Realtime NT, versiones anteriores a 2.3.7.30;
- versiones anteriores a 3.5.18.30 de los productos:
- CODESYS Development System,
- CODESYS Gateway,
- CODESYS Edge Gateway para Windows,
- CODESYS HMI (SL),
- CODESYS OPC DA Server SL,
- CODESYS PLCHandler.
DescripciĂłn:
Se han identificado 14 vulnerabilidades en productos CODESYS, de severidades crĂticas y altas, que afectan al servidor de comunicaciĂłn del protocolo CODESYS, permitiendo la transmisiĂłn de credenciales en texto claro y el envĂo de peticiones especialmente diseñadas para consumir recursos.
SoluciĂłn:
CODESYS ha publicado versiones actualizadas de los productos afectados para corregir estas vulnerabilidades, que se pueden consultar en la secciĂłn Available software updates y descargar desde la pĂĄgina de descargas del fabricante.
Detalle:
- El envĂo de peticiones especialmente diseñadas podrĂa causar la eliminaciĂłn de archivos, una condiciĂłn de denegaciĂłn de servicio (DoS), desbordamiento de bĂșfer, lectura fuera de lĂmites y acceso de lectura/escritura a ficheros internos. Se han asignado los identificadores CVE-2022-1965, CVE-2022-32136, CVE-2022-32137, CVE-2022-32138, CVE-2022-32139, CVE-2022- 32140, CVE-2022-32141, CVE-2022-32142 y CVE-2022-32143 para estas vulnerabilidades.
- La transmisiĂłn de credenciales en texto claro, o directamente la falta de un mĂ©todo de protecciĂłn para las contraseñas, podrĂan permitir a un atacante obtener dicha informaciĂłn mediante el anĂĄlisis del trĂĄfico en la comunicaciĂłn entre cliente y servidor. Se han asignado los identificadores CVE-2022-31805 y CVE-2022-31806 para estas vulnerabilidades.
- La explotaciĂłn de estas vulnerabilidades podrĂa permitir a un atacante omitir la autenticaciĂłn, consumir los recursos de conexiones TCP y causar una condiciĂłn de desbordamiento de memoria. Se han asignado los identificadores CVE-2022-31802, CVE-2022-31803 y CVE-2022-31804 para estas vulnerabilidades.
Etiquetas:
ActualizaciĂłn, Comunicaciones, Infraestructuras crĂticas, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.