Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Pribilegioen kudeaketa desegokia Codesys V3 produktuetan

Argitalpen data: 2020/05/07

Garrantzia: Ertaina 

Kaltetutako baliabideak: 

  • V3.5.16.0 baino lehenagoko CODESYS V3 garapen sistemaren bertsio guztiak, bai 32 eta bai 64 bitetarakoak;
  • Ondoko produktuak, V3.5.16.0 bertsioa baino lehenagokoetan: 
    • BeagleBone-rako CODESYS Control,
    • emPC-A/iMX6rako CODESYS Control,
    • IOT2000rako CODESYS Control,
    • Linuxerako CODESYS Control,
    • PLCnext-erako CODESYS Control,
    • PFC100erako CODESYS Control,
    • PFC200erako CODESYS Control,
    • Raspberry Pi-rako CODESYS Control,
    • RTE V3rako CODESYS Control,
    • CODESYS Control RTE V3 (Beckhoff CXerako),
    • CODESYS Control Win V3 (CODESYS Development System-en konfigurazioaren zati gisa);
    • CODESYS HMI V3,
    • CODESYS Control V3 Runtime System Toolkit.

Azalpena: 

CODESYS V3 garapen sistemak duen pribilegioen kudeaketa desegoki erako ahultasun bat argitaratu da. Hori baliatuz, erasotzaile batek pribilegioen eskalatzea egin lezake.

Konponbidea: 

Kaltetutako produktu guztien kasuan, V3.5.16.0 bertsiora eguneratzea.

Xehetasuna: 

CODESYSek hainbat aldagai eskaintzen ditu, pantailen bistaratzea erakusteko erabil daitezkeenak. Erabiltzaileen kudeaketa funtzioaren bidez posible da operadore batzuei sarbidea murriztea bistaratzearen zati zehatzetara. CODESYS WebVisu eta CODESYS Remote TargetVisu-n posible da pribilegioen eskalatzea gertatzea, eta horrela operadore zehatz batzuentzat soilik diren bistaratze pantailetara sarbidea lor liteke. Eraso hori baldintza jakin batzuetan bakarrik gerta daiteke: 

  • Deskargatutako bistaratzearen nabigazioa egiten denean bistaratze pantaila guztiak hautatuta eta soilik nabigaziorako elementuak daudenean babestuta erabiltzeen kudeaketagatik.
  • Deskargatutako bistaratzeak nabigazioak ezin eskura ditzakeen bistaratze pantailak dituenean. Ahultasunak bistaratze ezaugarriari berari eragiten dionez, CODESYS Control-en exekuzio denboraren produktuak soilik daude eraginda bistaratze ezaugarria erabiltzen bada.

Ahultasun horretarako CVE-2020-12068 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, Ahultasuna