MĂșltiples vulnerabilidades en XBC-DN32U de LS ELECTRIC

Fecha de publicaciĂłn: 10/02/2023

Importancia:
CrĂ­tica

Recursos afectados:

MĂłdulo de rendimiento PLC XBC-DN32U, versiĂłn del sistema operativo 01.80.

DescripciĂłn:

HeeA Go, de la universidad de Dankook, ha reportado 7 vulnerabilidades en el producto XBC-DN32U del fabricante LS ELECTRIC, siendo 3 de severidad crítica, 3 altas y 1 media. La explotación de estas vulnerabilidades podría permitir a un atacante robar información, provocar la pérdida de comunicación de los usuarios con el PLC, modificar el código, obtener credenciales y crear una condición de denegación de servicio (DoS).

SoluciĂłn:

LS ELECTRIC estĂĄ desarrollando soluciones que se publicarĂĄn provisionalmente a finales de 2023. Hasta entonces, recomienda a los usuarios que restrinjan la comunicaciĂłn con el PLC sĂłlo a direcciones IP y dispositivos de confianza activando la opciĂłn ‘Host Table’ en la ventana de configuraciĂłn del PLC.

Detalle:

Las vulnerabilidades de severidad crĂ­tica se describen a continuaciĂłn:

  • Una vulnerabilidad de omisiĂłn de autenticaciĂłn para crear usuarios en el PLC, podrĂ­a permitir a un atacante crear y utilizar una cuenta con privilegios elevados y tomar el control del dispositivo. Se ha asignado el identificador CVE-2023-22804 para esta vulnerabilidad.
  • El producto afectado no controla correctamente el acceso al PLC a travĂ©s de su protocolo interno XGT. Un atacante que explotase esta vulnerabilidad, podrĂ­a controlar y manipular el PLC enviĂĄndole paquetes a travĂ©s de su protocolo XGT. Se ha asignado el identificador CVE-2023-22807 para esta vulnerabilidad.
  • La falta de autenticaciĂłn para el comando de borrado en el producto afectado, podrĂ­a permitir a un atacante eliminar archivos arbitrarios. Se ha asignado el identificador CVE-2023-0102 para esta vulnerabilidad.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2023-22803, CVE-2023-22805, CVE-2023-22806 y CVE-2023-0103.

Encuesta valoraciĂłn

Etiquetas:
0day, Infraestructuras crĂ­ticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.