MĂșltiples vulnerabilidades en productos Phoenix Contact

Fecha de publicaciĂłn: 23/06/2021

Importancia:
CrĂ­tica

Recursos afectados:

  • AXL F BK PN TPS XC, versiones de firmware anteriores a 1.30 y de hardware anteriores a la 01;
  • AXL F BK PN TPS, versiones de firmware anteriores a 1.30 y de hardware anteriores a la 02;
  • AXL F BK EIP, versiones de firmware anteriores a 1.30 y de hardware anteriores a la 05;
  • AXL F BK EIP EF, versiones de firmware anteriores a 1.30 y de hardware anteriores a la 01;
  • AXL F BK ETH, versiones de firmware anteriores a 1.30 y de hardware anteriores a la 05;
  • AXL F BK ETH XC, versiones de firmware anteriores a 1.30 y de hardware anteriores a la 05;
  • AXL F BK S3, versiones de firmware anteriores a 1.40 y de hardware anteriores a la 05;
  • AXL F BK PN, todas las versiones;
  • AXL F BK PN XC, todas las versiones;
  • AXL F BK ETH NET2, todas las versiones;
  • AXL F BK SAS, todas las versiones;
  • IL PN BK-PAC, todas las versiones;
  • IL PN BK DI8 DO4 2TX-PAC, todas las versiones;
  • IL PN BK DI8 DO4 2SCRJ-PAC, todas las versiones;
  • IL ETH BK DI8 DO4 2TX-XC-PAC, todas las versiones;
  • IL ETH BK DI8 DO4 2TX-PAC, todas las versiones;
  • IL EIP BK DI8 DO4 2TX-PAC, todas las versiones;
  • IL S3 BK DI8 DO4 2TX-PAC, todas las versiones;
  • ILC1x0, todas las versiones;
  • ILC1x1, todas las versiones;
  • Automationworx Software Suite versiĂłn 1.87 y anteriores, los siguientes componentes:
    • PC Worx;
    • PC Worx Express;
    • Config+;
  • AXC F 1152, versiĂłn 2021.0 LTS y anteriores;
  • AXC F 2152, versiĂłn 2021.0 LTS y anteriores;
  • AXC F 3152, versiĂłn 2021.0 LTS y anteriores;
  • RFC 4072S, versiĂłn 2021.0 LTS y anteriores;
  • AXC F 2152 Starterkit, versiĂłn 2021.0 LTS y anteriores;
  • PLCnext Technology Starterkit, versiĂłn 2021.0 LTS y anteriores;
  • SMARTRTU AXC SG, versiĂłn V1.6.0.1 y anteriores;
  • SMARTRTU AXC IG, versiĂłn V1.0.0.0 y anteriores;
  • ENERGY AXC PU, versiĂłn V4.10.0.0 y anteriores;
  • EEM-SB370-C, versiĂłn 2021.02.01 y anteriores;
  • EEM-SB371-C, versiĂłn 2021.02.01 y anteriores;
  • CHARX control modular 3000, versiĂłn V1.0.11 y anteriores;
  • CHARX control modular 3050, versiĂłn V1.0.11 y anteriores;
  • CHARX control modular 3100, versiĂłn V1.0.11 y anteriores;
  • CHARX control modular 3150, versiĂłn V1.0.11 y anteriores;
  • FL MGUARD DM UNLIMITED, versiĂłn 1.12 y anteriores;
  • TC ROUTER 3002T-4G, versiĂłn 2.06.3 y anteriores;
  • TC ROUTER 2002T-3G, versiĂłn 2.06.3 y anteriores;
  • TC ROUTER 3002T-4G, versiĂłn 2.06.3 y anteriores;
  • TC ROUTER 2002T-3G, versiĂłn 2.06.3 y anteriores;
  • TC ROUTER 3002T-4G VZW, versiĂłn 2.06.3 y anteriores;
  • TC ROUTER 3002T-4G ATT, versiĂłn 2.06.3 y anteriores;
  • CLOUD CLIENT 1101T-TX/TX, versiĂłn 2.06.4 y anteriores;
  • TC ROUTER 4002T-4G EU, versiĂłn 4.5.72.100 y anteriores;
  • TC ROUTER 4102T-4G EU WLAN, versiĂłn 4.5.72.100 y anteriores;
  • TC ROUTER 4202T-4G EU WLAN, versiĂłn 4.5.72.100 y anteriores;
  • CLOUD CLIENT 2002T-4G EU, versiĂłn 4.5.72.100 y anteriores;
  • CLOUD CLIENT 2002T-WLAN, versiĂłn 4.5.72.100 y anteriores;
  • CLOUD CLIENT 2102T-4G EU WLAN, versiĂłn 4.5.72.100 y anteriores;
  • ILC 2050 BI, versiĂłn 1.5.1 y anteriores;
  • ILC 2050 BI-L, versiĂłn 1.5.1 y anteriores;
  • SMARTRTU AXC SG, versiĂłn V1.6.0.1 y anteriores;
  • SMARTRTU AXC IG, versiĂłn V1.0.0.0 y anteriores;
  • ENERGY AXC PU, versiĂłn V4.10.0.0 y anteriores;
  • FL COMSERVER UNI 232/422/485, versiones anteriores a la 2.40;
  • FL COMSERVER UNI 232/422/485-T, versiones anteriores a la 2.40;
  • FL SWITCH SMCS 16TX, versiĂłn 4.7 y anteriores;
  • FL SWITCH SMCS 14TX/2FX, versiĂłn 4.7 y anteriores;
  • FL SWITCH SMCS 14TX/2FX-SM, versiĂłn 4.7 y anteriores;
  • FL SWITCH SMCS 8GT, versiĂłn 4.7 y anteriores;
  • FL SWITCH SMCS 6GT/2SFP, versiĂłn 4.7 y anteriores;
  • FL SWITCH SMCS 8TX-PN, versiĂłn 4.7 y anteriores;
  • FL SWITCH SMCS 4TX-PN, versiĂłn 4.7 y anteriores;
  • FL SWITCH SMCS 8TX, versiĂłn 4.7 y anteriores;
  • FL SWITCH SMCS 6TX/2SFP, versiĂłn 4.7 y anteriores;
  • FL SWITCH SMN 6TX/2POF-PN, versiĂłn 4.7 y anteriores;
  • FL SWITCH SMN 8TX-PN, versiĂłn 4.7 y anteriores;
  • FL SWITCH SMN 6TX/2FX, versiĂłn 4.7 y anteriores;
  • FL SWITCH SMN 6TX/2FX SM, versiĂłn 4.7 y anteriores;
  • FL NAT SMN 8TX, versiĂłn 4.63 y anteriores;
  • FL NAT SMN 8TX-M, versiĂłn 4.63 y anteriores.

DescripciĂłn:

Phoenix Contact ha publicado 10 vulnerabilidades, 8 de severidad alta y 2 media, que podrĂ­an permitir a un atacante obtener acceso al ĂĄrea FTP; bloquear las comunicaciones de red; comprometer la disponibilidad, la integridad o la confidencialidad de una estaciĂłn de trabajo de programaciĂłn de aplicaciones; instalar cĂłdigo arbitrario en el sistema; la denegaciĂłn de servicio o la comprobaciĂłn fallida del certificado.

SoluciĂłn:

  • AXL F BK PN TPS XC, actualizar a la Ășltima versiĂłn disponible;
  • AXL F BK PN TPS, actualizar a la Ășltima versiĂłn disponible;
  • AXL F BK EIP, actualizar a la Ășltima versiĂłn disponible;
  • AXL F BK EIP EF, actualizar a la Ășltima versiĂłn disponible;
  • AXL F BK ETH, actualizar a la Ășltima versiĂłn disponible;
  • AXL F BK ETH XC, actualizar a la Ășltima versiĂłn disponible;
  • AXL F BK S3, actualizaciĂłn prevista para finales de 2021;
  • Automationworx Software Suite, actualizar a una versiĂłn posterior a la 1.87;
  • AXC F 1152, actualizar a la versiĂłn 2021.5 LTS;
  • AXC F 2152, actualizar a la versiĂłn 2021.5 LTS;
  • AXC F 3152, actualizar a la versiĂłn 2021.5 LTS;
  • RFC 4072S, actualizar a la versiĂłn 2021.5 LTS;
  • AXC F 2152 Starterkit, actualizar a la versiĂłn 2021.5 LTS;
  • PLCnext Technology Starterkit, actualizar a la versiĂłn 2021.5 LTS;
  • SMARTRTU AXC SG, actualizaciĂłn prevista para el tercer trimestre del 2021;
  • SMARTRTU AXC IG, actualizaciĂłn prevista para el tercer trimestre del 2021;
  • ENERGY AXC PU, actualizaciĂłn prevista para el tercer trimestre del 2021;
  • EEM-SB370-C, actualizaciĂłn prevista para el tercer trimestre del 2021;
  • EEM-SB371-C, actualizaciĂłn prevista para el tercer trimestre del 2021;
  • CHARX control modular 3000, actualizaciĂłn prevista para el tercer trimestre del 2021;
  • CHARX control modular 3050, actualizaciĂłn prevista para el tercer trimestre del 2021;
  • CHARX control modular 3100, actualizaciĂłn prevista para el tercer trimestre del 2021;
  • CHARX control modular 3150, actualizaciĂłn prevista para el tercer trimestre del 2021;
  • FL MGUARD DM UNLIMITED, actualizar a la versiĂłn 1.13;
  • TC ROUTER 3002T-4G, actualizar a la versiĂłn 2.06.5;
  • TC ROUTER 2002T-3G, actualizar a la versiĂłn 2.06.5;
  • TC ROUTER 3002T-4G, actualizar a la versiĂłn 2.06.5;
  • TC ROUTER 2002T-3G, actualizar a la versiĂłn 2.06.5;
  • TC ROUTER 3002T-4G VZW, actualizar a la versiĂłn 2.06.5;
  • TC ROUTER 3002T-4G ATT, actualizar a la versiĂłn 2.06.5;
  • CLOUD CLIENT 1101T-TX/TX, actualizar a la versiĂłn 2.06.5;
  • TC ROUTER 4002T-4G EU, actualizaciĂłn prevista para el segundo trimestre del 2021;
  • TC ROUTER 4102T-4G EU WLAN, actualizaciĂłn prevista para el segundo trimestre del 2021;
  • TC ROUTER 4202T-4G EU WLAN, actualizaciĂłn prevista para el segundo trimestre del 2021;
  • CLOUD CLIENT 2002T-4G EU, actualizaciĂłn prevista para el segundo trimestre del 2021;
  • CLOUD CLIENT 2002T-WLAN, actualizaciĂłn prevista para el segundo trimestre del 2021;
  • CLOUD CLIENT 2102T-4G EU WLAN, actualizaciĂłn prevista para el segundo trimestre del 2021;
  • ILC 2050 BI, actualizaciĂłn prevista para el segundo trimestre del 2021;
  • ILC 2050 BI-L, actualizaciĂłn prevista para el segundo trimestre del 2021;
  • SMARTRTU AXC SG, actualizaciĂłn prevista para el tercer trimestre del 2021;
  • SMARTRTU AXC IG, actualizaciĂłn prevista para el tercer trimestre del 2021;
  • ENERGY AXC PU, actualizaciĂłn prevista para el tercer trimestre del 2021;
  • FL COMSERVER UNI 232/422/485, actualizar a la versiĂłn 2.41;
  • FL COMSERVER UNI 232/422/485-T, actualizar a la versiĂłn 2.41.

Detalle:

Las vulnerabilidades de severidad alta son del tipo:

  • credenciales embebidas en el software, se ha asignado el identificador CVE-2021-33540 para esta vulnerabilidad;
  • asignaciĂłn de recursos sin lĂ­mitaciĂłn, se ha asignado el identificador CVE-2021-33541 para esta vulnerabilidad;
  • acceso al puntero no inicializado, se ha asignado el identificador CVE-2021-33542 para esta vulnerabilidad;
  • tiempo de comprobaciĂłn, tiempo de uso (TOCTOU), condiciĂłn de carrera, se ha asignado el identificador CVE-2020-25860 para esta vulnerabilidad;
  • validaciĂłn inadecuada del certificado, se ha asignado el identificador CVE-2021-3450 para esta vulnerabilidad;
  • falta de liberaciĂłn del recurso despuĂ©s de su tiempo de vida, se ha asignado el identificador CVE-2021-21002 para esta vulnerabilidad;
  • neutralizaciĂłn inadecuada de la entrada durante la generaciĂłn de la pĂĄgina web (cross-site scripting), se ha asignado el identificador CVE-2021- 20004 para esta vulnerabilidad;
  • ejecuciĂłn concurrente utilizando un recurso compartido con una sincronizaciĂłn inadecuada (condiciĂłn de carrera), se ha asignado el identificador CVE-2021- 20005 para esta vulnerabilidad;

Para el resto de vulnerabilidades, de severidad media, se han asignado los identificadores  CVE-2021-3449 y CVE-2021- 20003.

Encuesta valoraciĂłn

Etiquetas:
ActualizaciĂłn, Comunicaciones, Infraestructuras crĂ­ticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.