Múltiples vulnerabilidades en Smart PLC de ifm electronic GmbH
Fecha de publicación 10/07/2024
Importancia
5 - Crítica
Recursos Afectados
Los siguientes controladores con versiones de firmware iguales o anteriores a la V4.3.17, están afectados:
- Smart PLC AC14xx;
- Smart PLC AC4xxS.
Descripción
El investigador, Logan Carpenter de Dragos, junto con la coordinación del CERT@VDE, con el fabricante ifm, ha reportado 5 vulnerabilidades, 2 de severidad crítica y 3 de severidad alta. La explotación de estas vulnerabilidades podría permitir a un atacante acceder a la configuración utilizando las credenciales codificadas.
Solución
Actualizar a la versión de firmware 6.1.8 o posteriores.
Detalle
El detalle de las vulnerabilidades de severidad crítica es el siguiente:
- Un atacante remoto, no autenticado, podría utilizar las credenciales codificadas para acceder a los dispositivos SmartSPS con privilegios elevados. Se ha asignado el identificador CVE-2024-28747 para esta vulnerabilidad.
- Un atacante remoto con privilegios elevados podría habilitar el acceso telnet, el cual acepta credenciales codificadas. Se ha asignado el identificador CVE-2024-28751 para esta vulnerabilidad.
El resto de vulnerabilidades cuya severidad no es alta, puede consultarse en las referencias.
Listado de referencias
