Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/04/15

Garrantzia: Kritikoa

Kaltetutako baliabideak:

• DNP3 Outstation .NET Protocol osagaiak, eta DNP3 Outstation ANSI C liburutegiak, 3.16.00 bertsiotik 3.25.01 bitartean.
• SCADA Data Gateway: 
• • 3.02.0697 bertsiotik 4.0.1.22 bertsiora bitartekoak;
  • 2.41.0213 bertsiotik 4.0.1.22 bertsiora bitartekoak.

Azalpena:

Steven Seely eta Chris Anastasio ikertzaileek, Trend Micro-ko ZDIrekin lankidetzan, lau ahultasunen berri eman diote Triangle MicroWorks-i, bi larritasun kritikokoak, beste bat kritikotasun altukoa eta beste bat kritikotasun ertainekoa. Autentifikatu gabeko urruneko erasotzaile batek kodearen exekuzioa eten lezake, kode arbitrarioa exekutatu edo zerbitzuaren ukapen egoera (DoS) sortu.

Konponbidea:

• DNP3 Outstation .NET Protocol eta DNP3 Outstation ANSI C eguneratzea 3.26 bertsiora.
• SCADA Data Gateway 4.0.123 bertsiora eguneratzea.

Xehetasuna:

DNP3 Outstation-ek duen larritasun kritikoko ahultasun bat baliatuz, autentifikatu gabeko urruneko erasotzaile batek, bereziki diseinatutako mezu bat bidaliz, pilan oinarritutako bufferraren gainezkatzea eragin lezake, ekipoan kodearen exekuzioa eten lezakeena. Ahultasun horretarako CVE-2020-6996 identifikatzailea erreserbatu da.

SCADA Gateway-k duen larritasun kritikoko ahultasun bat baliatuz, autentifikatu gabeko urruneko erasotzaile batek kode arbitrarioa exekuta lezake, erabiltzaileak emandako datuen baliozkotze falta dela eta. Ahultasun horretarako CVE-2020-10611 identifikatzailea erreserbatu da.

SCADA Data Gateway-k duen larritasun altuko ahultasun bat baliatuz, autentifikatu gabeko urruneko erasotzaile batek zerbitzuaren ukapen egoera (DoS) eragin lezake, erabiltzaileak emandako datuen luzeraren baliozkotze falta dela eta. Ahultasun horretarako CVE-2020-10615 identifikatzailea erreserbatu da.

Larritasun ertaineko ahultasunerako CVE-2020-10615 identifikatzailea erreserbatu da.

Etiketak: Eguneraketa, SCADA, Ahultasuna