Múltiples vulnerabilidades en productos OPTO 22
INCIBE-2023-0356
Firmware SNAP PAC S1, versión R10.3b, un controlador de automatización industrial programable.
Nicolás Cano de Dragos ha informado de 5 vulnerabilidades: 3 de severidad media y 2 de severidad alta que podrían permitir a un atacante forzar contraseñas, acceder a ciertos archivos del dispositivo o provocar una condición de denegación de servicio.
Dragos recomienda a los usuarios realizar las siguientes acciones:
- Desactivar el servidor web integrado cuando no esté en uso a través de la configuración de seguridad de red dentro del software OPTO 22 Pac Manager.
- Restringir el acceso al servidor web integrado que se encuentra en HTTPS (TCP/443) y al puerto FTP (TCP/21).
- Asegúrese de que las credenciales de usuario se cambien por algo largo, complejo y único.
La explotación exitosa de las vulnerabilidades de severidad alta podría permitir a un atacante realizar un ataque de fuerza bruta si no se establece un límite de intentos para iniciar sesión, o si no hay requisitos para establecer una contraseña compleja. Se han asignado los identificadores CVE -2023-40706 y CVE -2023-40707 para estas vulnerabilidades.
Para el resto de vulnerabilidades de severidad media se les han asignado los siguientes identificadores: CVE -2023-40708, CVE -2023-40709 y CVE -2023-40710.
