Fecha de publicación: 12/07/2022
Importancia:
Crítica
Recursos afectados:
Versiones desde 01.07.00.2757 hasta la anterior a 01.08.01.3021 de los productos:
- cabinet c520,
- cabinet c550,
- cabinet c750.
Descripción:
CERT@VDE, coordinado con LENZE, ha publicado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante remoto establecer una comunicación sin haber realizado una correcta autenticación previamente, provocando un uso no autorizado de la interfaz OPC-UA.
Solución:
Instalar la versión 01.08.01.3021 para corregir esta vulnerabilidad.
Detalle:
El controlador de máquinas de los productos afectados incluye un servidor OPC-UA que utiliza una gestión de usuarios para autenticar a los clientes mediante autenticación anónima o de usuario/contraseña. Si se selecciona el segundo método, la verificación de la contraseña se omite en el segundo inicio de sesión. Como resultado, los usuarios podrían establecer comunicación sin una autenticación correcta. Esta vulnerabilidad no se encuentra en el protocolo OPC-UA o en el servidor, sino en la interfaz con el firmware de los productos. Se ha asignado el identificador CVE-2022-2302 para esta vulnerabilidad.
Etiquetas:
Actualización, Comunicaciones, Infraestructuras críticas, IoT, Privacidad, SCADA, Vulnerabilidad
Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cómo servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.