Múltiples vulnerabilidades en productos de WAGO

Fecha de publicación: 28/02/2023

Importancia:
Crítica

Recursos afectados:

• 751-9301 Controlador compacto CC100, versiones desde FW16 hasta FW23,
• 752-8303/8000-002 Controlador de borde, versiones desde FW18 hasta FW23,
• 750-81xx/xxx-xxx PFC100, versiones desde FW16 hasta FW23,
• 750-82xx/xxx-xxx PFC200,  versiones desde FW16 hasta FW23,
• 762-5xxx Touch Panel 600 Línea Avanzada, versiones desde FW16 hasta FW23,
• 762-6xxx Panel Táctil 600 Línea Marina, versiones desde FW16 hasta FW23,
• 762-4xxx Panel táctil 600 Línea estándar, versiones desde FW16 hasta FW23.

Descripción:

Ryan Pickren, investigador de Georgia Institute of Technology’s Cyber-Physical Security Lab, coordinado por el CERT@VDE, ha detectado cuatro vulnerabilidades: dos de severidad crítica y dos de severidad media basadas en la gestión web (WBM) del controlador lógico programable de (PLC).

Solución:

El fabricante recomienda a los usuarios de los productos afectados que instalen FW22 Patch 1, FW 24 o superior.

Detalle:

Las vulnerabilidades de severidad crítica permiten a un atacante no autenticado leer y configurar varios parámetros del dispositivo que podrían comprometer completamente el dispositivo y escribir datos arbitrarios con privilegios de root en el almacenamiento, lo que podría provocar la ejecución remota de código no autenticado y el compromiso total de sistema. Se han asignado los identificadores CVE-2022-45138 y CVE-2022-45140 a estas vulnerabilidades.

Se han asignado los identificadores CVE-2022-45137 y CVE-2022-45139 para las vulnerabilidades de severidad media.

Etiquetas:
Comunicaciones, Vulnerabilidad