Control inadecuado de la frecuencia de interacción en productos de Omron
INCIBE-2023-0400
Los siguientes productos de la serie CJ/CS/CP de Omron están afectados:
- Smart Security Manager, versiones 1.4 y anteriores a 1.31;
- Smart Security Manager, versiones 1.5 y anteriores;
- CJ2H-CPU ** (-EIP), versiones 1.4 y anteriores;
- CJ2M-CPU **, versiones 2.0 y anteriores;
- CS1H/G-CPU ** H y CJ1G-CPU ** P, versiones 4.0 y anteriores;
- CS1D-CPU ** H / -CPU ** P, versiones 1.3 y anteriores;
- CS1D-CPU ** S, versiones 2.0 y anteriores;
- CP1E-E / -N, versiones 1.2 y anteriores.
Reid Wightman, de Dragos, ha reportado una vulnerabilidad de severidad alta, cuya explotación podría permitir a un atacante obtener información sensible en memoria.
Omron recomienda actualizar a la última versión disponible de los productos afectados. Las versiones actualizadas pueden obtenerse contactando al equipo de atención al cliente de Omron.
Los controladores lógicos programables de la serie CJ/CS/CP de Omron utilizan el protocolo FINS, que es vulnerable a ataques de fuerza bruta. Los controladores no imponen ningún límite de velocidad en los intentos de adivinar la contraseña de las regiones de memoria protegidas por contraseña, lo que podría permitir a un atacante obtener información sensible.
Se ha asignado el identificador CVE-2022-45790 para esta vulnerabilidad.
