Fecha de publicación: 27/06/2022
Importancia:
Crítica
Recursos afectados:
- SEPCOS Single Package firmware (1.23.xx): versiones anteriores a 1.23.21;
- SEPCOS Single Package firmware (1.24.xx): versiones anteriores a 1.24.8;
- SEPCOS Single Package firmware (1.25.xx): versiones anteriores a 1.25.3.
Descripción:
Se ha informado de diversas vulnerabilidades en SEPCOS Control and Protection Relay que permitirían a un atacante obtener acceso completo al dispositivo a través de las vulnerabilidades del software de la interfaz S-Web, obteniendo el control sobre las funciones del PLC. Esto le permitiría, además, cargar configuraciones incorrectas subyacentes y escalar privilegios a través del sistema operativo o de FTP y SSH.
Solución:
- Para versiones 1.23.xx, actualización a 1.23.22 o una versión superior;
- Para versiones 1.24.xx, actualización a 1.24.8 o una versión superior;
- Para versiones 1.25.xx, actualización a 1.25.3 o una versión superior.
Detalle:
Se han detectado vulnerabilidades en SEPCOS Control and Protection Relay por un control de acceso inadecuado, gestión de privilegios incorrecto y uso de credenciales protegidas insuficientemente, lo que supone hasta 5 vulnerabilidades de tipo crítico, una alta y una media.
Los CVE asignados para estas vulnerabilidades son: CVE-2022-2105, CVE-2022-1667, CVE-2022-2102, CVE-2022-1668, CVE-2022-2103, CVE-2022-2104 y CVE-2022-1666.
Etiquetas:
Actualización, Comunicaciones, Infraestructuras críticas, SCADA, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.