Facebook Instagram Linkedin

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

MĂșltiples vulnerabilidades en productos WAGO

In Noticias y Avisos CiberseguridadPosted

Fecha de publicaciĂłn: 18/10/2022

Importancia:
CrĂ­tica

Recursos afectados:

  • WAGO-I/O-PRO Engineering Software, versiones 2.3.9.68 y anteriores.
  • Ethernet Controller 3rd Generation, versiones:
    • 01.04.16(14) y anteriores;
    • 01.09.25(16) y anteriores;
    • 01.08.25(16) y anteriores;
    • 01.07.25(16) y anteriores;
    • 01.03.25(16) y anteriores.
  • Ethernet Controller 4th Generation, versiones:
    • 01.05.04(10) y anteriores;
    • 01.02.16(06) y anteriores.
  • PFC200, versiones 03.10.08(22) y anteriores.
  • Series WAGO PFC100/PFC200, versiones:
    • desde 03.01.07(13) hasta 03.10.08(22) incluida;
    • desde 03.04.10(16) hasta 03.10.08(22) incluida.
  • Series WAGO Touch Panel 600, versiones desde 03.01.07(13) hasta 03.10.09(22) incluida.
  • WAGO Compact Controller CC100, versiones desde 03.07.17(19) hasta 03.09.08(21) incluida.
  • WAGO Edge Controller, versiones desde 03.06.09(18) hasta 03.10.09(22) incluida.

DescripciĂłn:

CERT@VDE, coordinado con WAGO, ha publicado 2 avisos que contienen vulnerabilidades de mĂșltiples severidades, 2 de severidad crĂ­tica, 7 altas y 6 medias. La explotaciĂłn de estas vulnerabilidades podrĂ­a permitir a un atacante causar una condiciĂłn de denegaciĂłn de servicio (DoS), eliminar archivos, acceder a comunicaciones cliente/servidor o eludir el filtrado de direcciones MAC.

SoluciĂłn:

  • WAGO recomienda a todos los usuarios afectados con PLCs WAGO I/O-PRO/CODESYS 2.3 actualizar el firmware y utilizar la Ășltima versiĂłn de WAGO I/O-Pro en cuanto estĂ© disponible (cuarto trimestre de 2022). Hasta entonces, el fabricante recomienda desconectar el puerto IP 2455 de CODESYS despuĂ©s de la puesta en marcha o, si no es posible, utilizar una contraseña de administrador robusta, ademĂĄs de aplicar las medidas descritas en el apartado Mitigation.
  • Actualizar los productos afectados a la versiĂłn de firmware correctora correspondiente:
    • Series WAGO PFC100/PFC200 and WAGO Compact Controller CC100:
      • 03.10.10(22) o superiores;
      • 04.01.10(23) o superiores.
    • Series WAGO Touch Panel 600 y WAGO Edge Controller 03.10.10(22) o superiores.

Detalle:

Las vulnerabilidades crĂ­ticas se describen a continuaciĂłn:

  • En CODESYS V2 PLCWinNT y Runtime Toolkit 32 la protecciĂłn por contraseña no estĂĄ habilitada por defecto y no hay informaciĂłn o aviso para habilitar dicha protecciĂłn en el inicio de sesiĂłn, en caso de que no se establezca ninguna contraseña en el controlador. Se ha asignado el identificador CVE-2022-31806 para esta vulnerabilidad.
  • En CODESYS Gateway Server V2 sĂłlo se compara una parte de la contraseña especificada con la contraseña real de CODESYS Gateway. Un atacante podrĂ­a realizar la autenticaciĂłn especificando una pequeña contraseña que coincida con la parte correspondiente de la contraseña real mĂĄs larga de CODESYS Gateway. Se ha asignado el identificador CVE-2022-31802 para esta vulnerabilidad.

El resto de identificadores CVE se pueden consultar en los aviso del CERT@VDE.

Se incluye informaciĂłn adicional sobre las vulnerabilidades que afectan a productos CODESYS empleados por WAGO en las referencias.

Encuesta valoraciĂłn

Etiquetas:
0day, ActualizaciĂłn, Comunicaciones, Infraestructuras crĂ­ticas, SCADA, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.