Múltiples vulnerabilidades en Rockwell Automation
- 440G TLS-Z, versión v6.001;
- Verve Asset Manager, versiones 1.39 y anteriores.
Rockwell Automation ha reportado 2 vulnerabilidades de severidad alta que podrían permitir a un atacante ejecutar comandos arbitrarios y tomar el control del dispositivo.
Para el producto Verve Asset Manager, actualizar a la versión 1.40.
Para el producto 440G TLS-Z o si no es posible actualizar Verve Asset Manager, el fabricante recomienda seguir las siguientes medidas para mitigar el problema:
- limitar el acceso físico solo a personal autorizado: salas de control, paneles de control, dispositivos, etc.
- Rockwell también ofrece una guía con información sobre cómo mitigar los riesgos de seguridad en los sistemas de control de automatización industrial.
El producto 440G TLS-Z, utiliza el dispositivo STMicroelectronics STM32L4, el cual tiene una vulnerabilidad de ejecución de código local debido a controles de acceso incorrectos. Debido a esta vulnerabilidad un atacante podría revertir las protecciones que controlan el acceso a la interfaz JTAG. Si se explota, un atacante podría tomar el control del dispositivo. Se ha asignado el identificador CVE-2020-27212 para esta vulnerabilidad.
Verve Asset Manager realiza una depuración insuficiente de variables en una parte de la interfaz web de administrador de Verve's Legacy Active Directory Interface (ADI) -obsoleta desde la versión 1.36-, lo que permite a los usuarios modificar una variable con una depuración inadecuada. Si se explota, podría permitir que un atacante con acceso de administrador ejecute comandos arbitrarios en el contexto del contenedor que ejecuta el servicio. Se ha asignado el identificador CVE-2025-1449 para esta vulnerabilidad.
