Incorrecta restricción en el interfaz web en productos MicroLogix de Rockwell Automation
Fecha de publicación 08/07/2022
Identificador
INCIBE-2022-0825
Importancia
3 - Media
Recursos Afectados
- MicroLogix 1400: versiones 21.007 y anteriores,
- MicroLogix 1100: todas las versiones.
Descripción
Rockwell Automation ha informado de una vulnerabilidad que podría permitir que un usuario malintencionado engañe a un usuario legítimo para que use un sitio web que no es de confianza, pudiendo acceder a información confidencial como las credenciales de autenticación.
Solución
Rockwell Automation recomienda:
- Deshabilitar el servidor web cuando sea posible (es un componente opcional que no interrumpirá el uso previsto del dispositivo).
- Configurar cortafuegos para no permitir la comunicación de red a través de HTTP/Puerto 80.
Para obtener más información, consulte el aviso de seguridad industrial de Rockwell Automation.
Detalle
La vulnerabilidad encontrada en dispositivos MicroLogix se produce por una incorrecta restricción en el encabezado X-Frame-Options, lo que podría provocar ataques de clickjacking. Se ha asignado a esta vulnerabilidad el identificador CVE-2022-2179.
Listado de referencias