Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Fecha de publicación: 21/02/2020

Importancia: Crítica

Recursos afectados:

• Automation Studio, versiones:
  • 2.7;
  • 3.0.71;
  • 3.0.80;
  • 3.0.81;
  • 3.0.90;
  • desde 4.0.x hasta 4.6.4;
  • 4.7.2.
• Automation Runtime, versiones:
  • 2.96;
  • 3.00;
  • 3.01;
  • 3.06;
  • 3.07;
  • desde 3.08 hasta 3.10;
  • desde 4.00 hasta 4.03;
  • desde 4.04 hasta 4.03;
  • desde 4.04 hasta 4.63;
  • 4.72 y superiores.

Descripción:

Yehuda Anikster y Amir Preminger, de Claroty, han reportado una vulnerabilidad, de severidad crítica, de tipo autorización inapropiada, que afecta a varios productos de B&R Industrial Automation GmbH.

Solución:

B&R informa que, por razones técnicas del producto, no permiten el cambio de credenciales del SNMP. Para reducir el riesgo de esta vulnerabilidad, las siguientes versiones de Automation Studio desactivan el servicio SNMP por defecto en los proyectos AS recién creados:

• AS 4.6.5 (fecha de publicación prevista: 27/03/2020) y superiores;
• AS 4.7.3 (fecha de publicación prevista: 10/04/2020) y superiores;
• AS 4.8.2 (fecha de publicación prevista: 11/06/2020) y superiores.

Detalle:

Los productos afectados son vulnerables a una debilidad en el servicio SNMP, lo que permitiría a un atacante remoto, no autenticado, modificar la configuración de los dispositivos afectados. Se ha reservado el identificador CVE-2019-19108 para esta vulnerabilidad.

Etiquetas: Actualización, Infraestructuras críticas, Vulnerabilidad