Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Hainbat ahultasun Schneider Electric-en Modicon M221-en

Argitalpen data: 2018/08/29

Garrantzia: Handia

Kaltetutako baliabideak:

  • Modicon M221, V1.6.2.0 bertsioa baino lehenagoko guztiak

Azalpena:

New Orleanseko Unibertsitateko Irfan Ahmed, Hyunguk Yoo, Sushma Kalle eta Nehal Ameen ikertzaileek Schneider Electric-en Modicon M221 produktuei eragiten dieten hainbat ahultasunen berri eman dute. Era hauetakoak dira: informazioaren kudeaketan akatsa, eta baimen, pribilegio eta sarbide kontrolaren kudeaketa okerra. Urruneko erasotzaile batek pasahitzak berridatz edo deskodetu litzake edo autentifikazio sekuentzia birbidali.

Konponbidea:

Xehetasuna:

  • Baimenik gabeko erabiltzaile bati autentifikazio sekuentziak birbidal ditzan ahalbidetzen dion ahultasuna. Erasotzaile bat kaltetutako produktura konekta liteke eta PLCren programa originala igotzea lor lezake. Ahultasun horretarako CVE-2018-7790 identifikatzailea erreserbatu da.
  • Baimenik gabeko erabiltzaileei pasahitz originala gainidaztea ahalbidetzen dien ahultasuna. Erasotzaile batek PLCren programa originala igotzea lor lezake. Ahultasun horretarako CVE-2018-7791 identifikatzailea erreserbatu da.
  • Rainbow taulak erabiliz baimenik gabeko erabiltzaileei pasahitzak deskodetzea ahalbidetzen dien ahultasuna. Ahultasun horretarako CVE-2018-7792 identifikatzailea erreserbatu da.
Etiketak: Schneider Electric, Ahultasuna