Múltiples vulnerabilidades en productos de Festo

Fecha de publicación: 29/09/2021

Importancia:
Alta

Recursos afectados:

Todas las versiones de:

  • SBOC-Q-R1B;
  • SBOC-Q-R1B-S1;
  • SBOC-Q-R1C;
  • SBOC-Q-R1C-S1;
  • SBOC-Q-R3B-WB;
  • SBOC-Q-R3B-WB-S1;
  • SBOC-Q-R3C-WB;
  • SBOC-Q-R3C-WB-S1;
  • SBOC-Q-R2B;
  • SBOC-Q-R2B-S1;
  • SBOC-Q-R2C;
  • SBOI-Q-R1B;
  • SBOI-Q-R1B-S1;
  • SBOI-Q-R1C;
  • SBOI-Q-R1C-S1;
  • SBOI-Q-R3B-WB;
  • SBOI-Q-R3B-WB-S1;
  • SBOI-Q-R3C-WB;
  • SBOI-Q-R3C-WB-S1;
  • SBRD-Q.

Descripción:

Tal Keren y Sharon Brizinov, de Claroty, han reportado al CISA 4 vulnerabilidades de severidad alta que podrian provocar una denegación de servicio o leer datos arbitrarios. CERT@VDE se ha coordinado con Festo.

Solución:

No está prevista ninguna corrección.

Aplicar las siguientes medidas de mitigación:

  • Minimizar la exposición a la red de todos dispositivos del sistema de control y/o sistemas y asegurarse de que no son accesibles desde Internet.
  • Desactivar EtherNet/IP en la configuración del dispositivo si no se utiliza.

 

Detalle:

  • Un paquete específicamente diseñado enviado por un atacante a los dispositivos afectados puede causar una condición de denegación de servicio. Se han asignado los identificadores CVE-2021-27478, CVE-2021-27500 y CVE-2021-27498 para estas vulnerabilidades.
  • Un paquete específicamente diseñado enviado por un atacante podría permitir leer datos arbitrarios. Se ha asignado el identificador CVE-2021-27482 para esta vulnerabilidad.

Encuesta valoración

Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.