Fecha de publicación: 08/10/2020
Importancia:
Crítica
Recursos afectados:
P F Comtrol RocketLinx, versiones:
- ES7510-XT,
- ES8509-XT,
- ES8510-XT,
- ES9528-XTv2,
- ES7506,
- ES7510,
- ES7528,
- ES8508,
- ES8508F,
- ES8510,
- ES8510-XTE,
- ES9528/ES9528-XT.
Descripción:
El investigador T. Weber de SEC Consult Vulnerability Lab, coordinado por el [email protected], ha identificado múltiples vulnerabilidades en PEPPERL FUCHS Comtrol RocketLinux que ha reportado al propio fabricante.
Solución:
Actualmente el fabricante no ha publicado actualizaciones para solucionar estas vulnerabilidades, por lo que se requieren medidas de protección externas:
- Un firewall debe bloquear el tráfico de redes que no son de confianza al dispositivo, especialmente el tráfico dirigido a la página web de administración.
- El acceso de administrador y usuario debe estar protegido por una contraseña segura y solo debe estar disponible para un grupo muy limitado de personas.
Detalle:
Los atacantes remotos podrían explotar múltiples vulnerabilidades para obtener acceso al dispositivo, ejecutar cualquier programa y obtener información.
- Se ha asignado el identificador CVE-2020-12500 para esta vulnerabilidad crítica de tipo autorización incorrecta.
- Se ha asignado el identificador CVE-2020-12501 para esta vulnerabilidad crítica de tipo credenciales embebidas en el software.
- Se ha asignado el identificador CVE-2020-12502 para esta vulnerabilidad alta de tipo CSRF (Cross-Site Request Forgery).
- Se ha asignado el identificador CVE-2020-12503 para esta vulnerabilidad alta de tipo validación incorrecta de entrada.
- Se ha asignado el identificador CVE-2020-12504 para esta vulnerabilidad crítica de tipo funcionalidad oculta.
Etiquetas:
Comunicaciones, IoT, Vulnerabilidad