Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Autorización inapropiada en múltiples productos de B&R Industrial Automation GmbH

Fecha de publicación 21/02/2020
Importancia
5 - Crítica
Recursos Afectados
  • Automation Studio, versiones:
    • 2.7;
    • 3.0.71;
    • 3.0.80;
    • 3.0.81;
    • 3.0.90;
    • desde 4.0.x hasta 4.6.4;
    • 4.7.2.
  • Automation Runtime, versiones:
    • 2.96;
    • 3.00;
    • 3.01;
    • 3.06;
    • 3.07;
    • desde 3.08 hasta 3.10;
    • desde 4.00 hasta 4.03;
    • desde 4.04 hasta 4.03;
    • desde 4.04 hasta 4.63;
    • 4.72 y superiores.
Descripción

Yehuda Anikster y Amir Preminger, de Claroty, han reportado una vulnerabilidad, de severidad crítica, de tipo autorización inapropiada, que afecta a varios productos de B&R Industrial Automation GmbH.

Solución

B&R informa que, por razones técnicas del producto, no permiten el cambio de credenciales del SNMP. Para reducir el riesgo de esta vulnerabilidad, las siguientes versiones de Automation Studio desactivan el servicio SNMP por defecto en los proyectos AS recién creados:

  • AS 4.6.5 (fecha de publicación prevista: 27/03/2020) y superiores;
  • AS 4.7.3 (fecha de publicación prevista: 10/04/2020) y superiores;
  • AS 4.8.2 (fecha de publicación prevista: 11/06/2020) y superiores.
Detalle

Los productos afectados son vulnerables a una debilidad en el servicio SNMP, lo que permitiría a un atacante remoto, no autenticado, modificar la configuración de los dispositivos afectados. Se ha reservado el identificador CVE-2019-19108 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
ICS Advisory (ICSA-20-051-01) B&R Industrial Automation Automation Studio and Automation Runtime
Etiquetas