Múltiples vulnerabilidades en productos de WAGO

Fecha de publicación: 28/02/2023

Importancia:
Crítica

Recursos afectados:

  • 751-9301 Controlador compacto CC100, versiones desde FW16 hasta FW23,
  • 752-8303/8000-002 Controlador de borde, versiones desde FW18 hasta FW23,
  • 750-81xx/xxx-xxx PFC100, versiones desde FW16 hasta FW23,
  • 750-82xx/xxx-xxx PFC200,  versiones desde FW16 hasta FW23,
  • 762-5xxx Touch Panel 600 Línea Avanzada, versiones desde FW16 hasta FW23,
  • 762-6xxx Panel Táctil 600 Línea Marina, versiones desde FW16 hasta FW23,
  • 762-4xxx Panel táctil 600 Línea estándar, versiones desde FW16 hasta FW23.

Descripción:

Ryan Pickren, investigador de Georgia Institute of Technology’s Cyber-Physical Security Lab, coordinado por el CERT@VDE, ha detectado cuatro vulnerabilidades: dos de severidad crítica y dos de severidad media basadas en la gestión web (WBM) del controlador lógico programable de (PLC).

Solución:

El fabricante recomienda a los usuarios de los productos afectados que instalen FW22 Patch 1, FW 24 o superior.

Detalle:

Las vulnerabilidades de severidad crítica permiten a un atacante no autenticado leer y configurar varios parámetros del dispositivo que podrían comprometer completamente el dispositivo y escribir datos arbitrarios con privilegios de root en el almacenamiento, lo que podría provocar la ejecución remota de código no autenticado y el compromiso total de sistema. Se han asignado los identificadores CVE-2022-45138 y CVE-2022-45140 a estas vulnerabilidades.

Se han asignado los identificadores CVE-2022-45137 y CVE-2022-45139 para las vulnerabilidades de severidad media.

Encuesta valoración

Etiquetas:
Comunicaciones, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.