Múltiples vulnerabilidades en productos Pepperl+Fuchs
Fecha de publicación 11/07/2024
Identificador
INCIBE-2024-0356
Importancia
5 - Crítica
Recursos Afectados
- Versión MR10 (S02ROW.EC.01.02.244.00) y anteriores de los productos:
- Smart-Ex 02;
- Smart-Ex02BR-ROW-DZ1BRA- ANDC;
- Smart-Ex02-RUS-DZ2EAC- ANDC00HM;
- Smart-Ex02-RUS-DZ2EAC- ANDCES.
- SMART-EX 03, versión MR2 (S03ROW.13.00.00.032) y anteriores.
- Versión 2.11.0 y anteriores de los productos:
- OIT1500-F113-B12-CB;
- OIT200-F113-B12-CB;
- OIT500-F113-B12-CB;
- OIT700-F113-B12-CB.
Descripción
CERT@VDE, en coordinación con el fabricante Pepperl+Fuchs, ha publicado 3 vulnerabilidades que afectan a varios de sus productos, 1 de severidad crítica y 2 altas (BMW AG ha reportado 2 de las vulnerabilidades). Un atacante que explote estas vulnerabilidades podría escalar privilegios, divulgar información, realizar una denegación de servicio y manipular el dispositivo.
Solución
- Para la vulnerabilidad CVE-2024-36971:
- actualizar Smart-Ex 02 a la versión MR11 (disponible en septiembre de 2024);
- actualizar SMART-EX 03 a la versión MR3 (disponible en agosto de 2024).
- Para las vulnerabilidades CVE-2024-6421 y CVE-2024-6422:
- minimizar exposición para no hacer que los dispositivos sean accesibles a través de Internet;
- aislar los productos afectados de la red corporativa;
- emplear VPN en caso de que se requiera acceso remoto.
Detalle
Un atacante remoto, no autenticado, podría emplear esta vulnerabilidad crítica para manipular el dispositivo a través de Telnet, y así detener procesos, leer, borrar y cambiar datos. Se ha asignado el identificador CVE-2024-6422 para esta vulnerabilidad.
Las vulnerabilidades de severidad alta tienen asignados los identificadores CVE-2024-36971 y CVE-2024-6421.
Listado de referencias
