Basque Cyber Security Centre - Centro Vasco de Ciberseguridad

Fecha de publicación: 11/06/2020

Importancia: Crítica

Recursos afectados:

Todas las versiones de firmware de los siguientes productos:

• Series PFC100 (750-81xx/xxx-xxx),
• Series PFC200 (750-82xx/xxx-xxx),
• 762-4xxx Wago Touch Panel 600 Standard Line,
• 762-5xxx Wago Touch Panel 600 Advanced Line,
• 762-6xxx Wago Touch Panel 600 Marine Line.

Descripción:

El investigador, Kelly Leuschner de la empresa Cisco Talos, coordinado por el [email protected], ha identificado una vulnerabilidad, de severidad crítica, de tipo gestión inadecuada de privilegios en distintos productos de WAGO, que ha reportado al propio fabricante.

Solución:

En versiones anteriores de los manuales de productos de WAGO, se hizo una distinción entre WBM y el sistema Linux. Esta información era incorrecta y WAGO la ha corregido en las versiones actuales de los manuales, que se actualizarán en junio de 2020. Válido desde la versión de firmware 03.04.10 (16) / capítulo 5.1.2.1.2.

Detalle:

Un atacante autenticado que tenga acceso a WBM (Web Based Management) podría usar la funcionalidad de carga de software para instalar un paquete de software con privilegios de root. Este hecho podría permitirle manipular el dispositivo u obtener el control del mismo. Se ha reservado el identificador CVE-2020-6090 para esta vulnerabilidad.

Etiquetas: Infraestructuras críticas, Vulnerabilidad