Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Asignación incorrecta de permisos en CompactRIO de National Instruments

Fecha de publicación 04/12/2020
Importancia
4 - Alta
Recursos Afectados

Driver del controlador CompactRIO, todas las versiones anteriores a 20.5.

Descripción

Investigadores de Titanium Industrial Security han identificado una vulnerabilidad, de severidad alta, de tipo asignación incorrecta de permisos para recursos críticos, y la han notificado a INCIBE.

Solución

El fabricante recomienda:

  • Actualizar el driver del controlador CompactRIO en el host, a la versión 20.5.
  • Actualizar el firmware en los controladores CompactRIO, a la versión 8.5 o superior.
  • Formatear el controlador CompactRIO según las indicaciones proporcionadas.
  • Repetir los pasos de actualización de firmware y formateo para cada equipo en el que se esté ejecutando CompactRIO afectado por la vulnerabilidad.
Detalle

La asignación incorrecta de permisos se establece por defecto para un punto de entrada de la API de un servicio específico, lo que podría permitir a un usuario no autenticado, reiniciar el controlador de forma remota. Se ha asignado el identificador CVE-2020-25191 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
ICS Advisory (ICSA-20-338-01) National Instruments CompactRIO
Etiquetas