Fecha de publicaciĂłn: 10/02/2023
Importancia:
CrĂtica
Recursos afectados:
MĂłdulo de rendimiento PLC XBC-DN32U, versiĂłn del sistema operativo 01.80.
DescripciĂłn:
HeeA Go, de la universidad de Dankook, ha reportado 7 vulnerabilidades en el producto XBC-DN32U del fabricante LS ELECTRIC, siendo 3 de severidad crĂtica, 3 altas y 1 media. La explotaciĂłn de estas vulnerabilidades podrĂa permitir a un atacante robar informaciĂłn, provocar la pĂ©rdida de comunicaciĂłn de los usuarios con el PLC, modificar el cĂłdigo, obtener credenciales y crear una condiciĂłn de denegaciĂłn de servicio (DoS).
SoluciĂłn:
LS ELECTRIC estĂĄ desarrollando soluciones que se publicarĂĄn provisionalmente a finales de 2023. Hasta entonces, recomienda a los usuarios que restrinjan la comunicaciĂłn con el PLC sĂłlo a direcciones IP y dispositivos de confianza activando la opciĂłn ‘Host Table’Â en la ventana de configuraciĂłn del PLC.
Detalle:
Las vulnerabilidades de severidad crĂtica se describen a continuaciĂłn:
- Una vulnerabilidad de omisiĂłn de autenticaciĂłn para crear usuarios en el PLC, podrĂa permitir a un atacante crear y utilizar una cuenta con privilegios elevados y tomar el control del dispositivo. Se ha asignado el identificador CVE-2023-22804 para esta vulnerabilidad.
- El producto afectado no controla correctamente el acceso al PLC a travĂ©s de su protocolo interno XGT. Un atacante que explotase esta vulnerabilidad, podrĂa controlar y manipular el PLC enviĂĄndole paquetes a travĂ©s de su protocolo XGT. Se ha asignado el identificador CVE-2023-22807 para esta vulnerabilidad.
- La falta de autenticaciĂłn para el comando de borrado en el producto afectado, podrĂa permitir a un atacante eliminar archivos arbitrarios. Se ha asignado el identificador CVE-2023-0102 para esta vulnerabilidad.
Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2023-22803, CVE-2023-22805, CVE-2023-22806 y CVE-2023-0103.
Etiquetas:
0day, Infraestructuras crĂticas, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ășnicamente informativa y su veracidad estĂĄ supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĂłmo servicio para facilitar a usuarios y empresas la obtenciĂłn de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.