Múltiples vulnerabilidades en productos de Beckhoff
Fecha de publicación 28/08/2024
Identificador
INCIBE-2024-0419
Importancia
4 - Alta
Recursos Afectados
- IPC Diagnostics package y Package IPC-Diagnostics-www: versiones anteriores a la 2.1.1.0.
- TwinCAT/BSD: versiones anteriores a la 14.1.2.0_153968.
Descripción
CERT@VDE, en coordinación con Beckhoff ha publicado 2 vulnerabilidades de severidad alta que podrían permitir ejecutar comandos locales con privilegios administrativos o actuar con derechos de administrador.
Solución
Actualizar a la versión más reciente.
Detalle
Ambas vulnerabilidades afectan a los productos basados en TwinCAT/BSD, ya que tienen habilitada de forma predeterminada una interfaz web específica del dispositivo para la gestión basada en web (WBM), conocida como Beckhoff Device Manager UI.
En el caso de que se acceda de forma local:
- se podría eludir el mecanismo de autenticación de la interfaz web, independientemente de sus permisos, y se podría actuar con derechos de acceso administrativo (CVE-2024-41173);
- el usuario podría omitir la validación de entrada introduciendo entradas especialmente diseñadas en la interfaz de usuario para determinadas páginas, lo que permitiría ejecutar comandos locales con privilegios de administrador (CVE-2024-41174).
Listado de referencias