Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/03/09

Garrantzia: Kritikoa

Kaltetutako baliabideak:

• MicroLogix 1400 Controllers:
  • Series B, v21.001 eta lehenagokoak;
  • Series A, bertsio guztiak.
• MicroLogix 1100 Controllers, bertsio guztiak.
• Software RSLogix 500, V12.001 eta lehenagoko bertsioak.

Azalpena:

MicroLogix-en kontrolatzaileek eta RSLogix 500 softwareak dituzten hainbat ahultasunen berri eman da.

Konponbidea:

Eskuragarri dauden honako eguneraketak aplikatzea:

• MicroLogix 1400 Controllers, Series BPren kasuan, FRN 21.002 bertsioa.
• RSLogix 500 softwarearen kasuan, V11 bertsioa.

Xehetasuna:

Ondoren zehazten dira aurkitu diren ahultasun kritikoak:

• Pasahitza babesteko erabilitako zifratze gakoa barneratuta dago RSLogix 500en dokumentu bitarrean.Erasotzaile batek gako zifratua eskura lezake eta urrunetik erasoak egin, kontrolatzailera baimenik gabeko sarbideak lortuz. Ahultasun horretarako CVE-2020-6990 identifikatzailea erabili da.
• Gailura sartzeko pasahitza babesteko erabiltzen den zifratze funtzioa aurki lezake urruneko erasotzaile batek, eta horrela kontrolatzailera baimenik gabeko sarbidea lor lezake. Ahultasun horretarako CVE-2020-6984 identifikatzailea erabili da.

Gainerako ahultasunetarako, larritasun ertainekoak, CVE- 2020-6988 eta CVE-2020-6980 identifikatzaileak erreserbatu dira.

Etiketak: Eguneraketa