Vulnerabilidad de denegación de servicio en productos Rockwell Automation

Fecha de publicación: 29/07/2022

Importancia:
Media

Recursos afectados:

• Software FactoryTalk Linx Enterprise: versiones 6.20, 6.21 y 6.30;
• HIM mejorado (eHIM) para PowerFlex 6000T: versión 1.001;
• Software Connected Components Workbench: versiones 11, 12, 13 y 20;
• FactoryTalk View Site Edition: versión 13.

Descripción:

Rockwell Automation ha informado de una vulnerabilidad que podría causar una condición de denegación de servicio presente en varios componentes debido a la forma en el fabricante utiliza el navegador web Chromium en sus productos.

Solución:

Rockwell Automation está en proceso de probar y validar el parche para cada producto a medida que el firmware actualizado esté disponible.

Adicionalmente se recomienda:

• FactoryTalk View Site Edition evitar usar el control del navegador web o aplicar manualmente la versión actualizada de WebView2 reemplazando el archivo Microsoft WebView2 en el directorio C:Program Files (x86)Rockwell SoftwareRS View EnterpriseMicrosoft.WebView2.FixedVersionRuntime copiando y pegando la nueva versión del software en la carpeta, asegurándose de no eliminar el contenido de la carpeta antes de pegar el nuevo archivo.
• Enhanced HIM (eHIM) para Power Flex 6000T deben actualizar el navegador Microsoft Edge a la versión 99.0.1150 o posterior.

Detalle:

La vulnerabilidad detectada afecta al acceso a un recurso por la utilización de un tipo incompatible y se produce debido a la forma en que Rockwell Automation utiliza el navegador web Chromium La explotación de esta vulnerabilidad puede hacer que los productos afectados dejen de estar disponibles temporalmente. Se ha asignado el identificador CVE-2022-1096 a esta vulnerabilidad.

Etiquetas:
Comunicaciones, Infraestructuras críticas, Navegador, SCADA, Vulnerabilidad