Múltiples vulnerabilidades en productos modbus TCP/RTU de Weidmueller

Fecha de publicación: 08/04/2022

Importancia:
Crítica

Recursos afectados:

  • IE-GW-MB-2TX-1RS232/485, versión V1.0 (Build 14050818);
  • IE-GWT-MB-2TX-1RS232/485, versión V1.0 (Build 14050818).

Descripción:

Weidmueller ha publicado 9 vulnerabilidades, 3 de severidad crítica, 4 altas y 2 medias, en coordinación con el CERT@VDE, que podrían permitir a un atacante la denegación del servicio, la divulgación de información sensible o conseguir acceso de administrador.

Solución:

Actualizar a la ultima versión de firmware, V2.1 (Build 21072817) o superior.

Detalle:

Las vulnerabilidades de severidad crítica son:

  • Los requisitos insuficientes en las contraseñas utilizadas en la aplicación web podría permitir a un atacante obtener acceso forzando las contraseñas de las cuentas. Se ha asignado el identificador CVE-2019-9096 para esta vulnerabilidad.
  • Un atacante podría interceptar contraseñas con un cifrado débil y obtener acceso administrativo a los productos afectados. Se ha asignado el identificador CVE-2019-9095 para esta vulnerabilidad.
  • Un desbordamiento de búfer en el servidor web integrado de los productos afectados podría permitir a un atacante remoto la denegación de servicio o ejecutar código arbitrario. Se ha asignado el identificador CVE-2019-9099 para esta vulnerabilidad.

Para el resto de vulnerabilidades de severidad alta se han asignado los identificadores: CVE-2019-9102, CVE-2019-9101, CVE-2019-9098 y CVE-2019-9104.

Para el resto de vulnerabilidades de severidad media se han asignado los identificadores: CVE-2019-9097 y CVE-2019-9103.

Encuesta valoración

Etiquetas:
Actualización, Infraestructuras críticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.