Facebook Instagram Linkedin

C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades en productos de Bosch con sistemas de comunicaciĆ³n CODESYS

In Noticias y Avisos CiberseguridadPosted

Fecha de publicaciĆ³n: 21/07/2021

Importancia:
CrĆ­tica

Recursos afectados:

  • Rexroth
  • CS351E-D IL, versiones posteriores a V2.300;
  • CS351E-D IL, versiĆ³n V2.800 y posteriores;
  • CS351E-G IL, versiones posteriores a V2.300;
  • CS351E-G IL, versiĆ³n V2.800 y posteriores;
  • CS351S-D IL, versiones posteriores a V2.300;
  • CS351S-D IL, versiĆ³n V2.800 y posteriores;
  • CS351S-G IL, versiones posteriores a V2.300;
  • CS351S-G IL, versiĆ³n V2.800 y posteriores;
  • KE350G IL, versiones posteriores a V2.300;
  • KE350G IL, versiĆ³n V2.800 y posteriores.

DescripciĆ³n:

Codesys ha publicado 6 vulnerabilidades crĆ­ticas y 2 de severidad alta, que podrĆ­an permitir a un atacante utilizar el protocolo de comunicaciĆ³n con los PLC para enviar paquetes manipulados a los productos afectados, y dar lugar a una condiciĆ³n de denegaciĆ³n de servicio o permitir, en el peor de los casos, la ejecuciĆ³n remota de cĆ³digo.

SoluciĆ³n:

No existe soluciĆ³n para estas vulnerabilidades, Bosch Rexroth recomienda utilizar los productos afectados en una red sin acceso a Internet, y aplicar las siguientes medidas compensatorias:

  • Minimizar la exposiciĆ³n a la red y asegurarse de que los productos no son accesibles a travĆ©s de Internet;
  • SegmentaciĆ³n de la red/cortafuegos: AĆ­sle los productos afectados de la red corporativa;
  • Si es necesario el acceso remoto, utilice mĆ©todos seguros como las redes privadas virtuales (VPN);
  • Active y aplique funciones de gestiĆ³n de usuarios y contraseƱas.

Detalle:

Los sistemas compactos CS351E y CS351S y el mĆ³dulo de comunicaciĆ³n KE350G con PLC integrado contienen tecnologĆ­a de CODESYS GmbH. Este mĆ³dulo de comunicaciĆ³n estĆ” afectado por vulnerabilidades que permitirĆ­an el desbordamiento de bĆŗfer basado en la pila, el control de acceso inadecuado, la copia del bĆŗfer sin comprobar el tamaƱo de la entrada, una comprobaciĆ³n de seguridad mal implementada, tener lectura o escritura fuera de lĆ­mites y una validaciĆ³n de entrada inadecuada.

Se han asignado los siguientes CVE para estas vulnerabilidades: CVE-2021-30186, CVE-2021-30188, CVE-2021-30189, CVE-2021-30190, CVE-2021-30191, CVE-2021-30192, CVE-2021-30193, CVE-2021-30194, CVE-2021-30195.

Encuesta valoraciĆ³n

Etiquetas:
Comunicaciones, Infraestructuras crĆ­ticas, Vulnerabilidad

Ir a la fuente
Author: INCIBE
Aviso: Esta noticia / aviso es Ćŗnicamente informativa y su veracidad estĆ” supeditada a la fuente origen. TechConsulting muestra este contenido por creer en su fuente y cĆ³mo servicio para facilitar a usuarios y empresas la obtenciĆ³n de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.