Múltiples vulnerabilidades en productos Pepperl+Fuchs

Fecha de publicación 05/01/2021
Importancia
4 - Alta
Recursos Afectados

Versiones de firmware 1.5.48 y anteriores, de P+F Comtrol:

  • IO-Link Master 4-EIP,
  • IO-Link Master 8-EIP,
  • IO-Link Master 8-EIP-L,
  • IO-Link Master DR-8-EIP,
  • IO-Link Master DR-8-EIP-P,
  • IO-Link Master DR-8-EIP-T,
  • IO-Link Master 4-PNIO,
  • IO-Link Master 8-PNIO,
  • IO-Link Master 8-PNIO-L,
  • IO-Link Master DR-8-PNIO,
  • IO-Link Master DR-8-PNIO-P,
  • IO-Link Master DR-8-PNIO-T.
Descripción

T.Weber, de SEC Consult Vulnerability Lab, ha reportado esta vulnerabilidad, coordinada por el CERT@VDE, que podría permitir a un atacante acceder al dispositivo y a su información, o ejecutar programas.

Solución

Actualizar los productos afectados con los siguientes paquetes de firmware:

  • U-Boot bootloader, versión 1.36 o posterior;
  • System image, versión 1.52 o posterior;
  • Application base, 1.6.11 o posterior.

Además, para productos que estén conectados a una red pública, el fabricante recomienda:

  • Poner en práctica medidas de protección externa.
  • El tráfico de las redes no confiables al dispositivo debe ser bloqueado por cortafuegos, especialmente el tráfico dirigido a la página de administración.
  • Las cuentas de usuario del dispositivo deben habilitarse con contraseñas seguras.
  • Si personas o aplicaciones no confiables tienen acceso a la red a la que está conectado el dispositivo, se recomienda configurar las contraseñas de las tres cuentas de usuario.
Detalle

Las vulnerabilidades identificadas son del tipo:

  • Cross-Site Request Forgery (CSRF). Se ha asignado el identificador CVE-2020-12511 para esta vulnerabilidad de severidad alta.
  • Cross-Site Scripting (XSS). Se ha asignado el identificador CVE-2020-12512 para esta vulnerabilidad de severidad alta.
  • Neutralización inapropiada de elementos especiales utilizados en un comando del Sistema Operativo (OS Command Injection). Se ha asignado el identificador CVE-2020-12513 para esta vulnerabilidad de severidad alta.
  • Desreferencia del puntero NULL. Se ha asignado el identificador CVE-2020-12514 para esta vulnerabilidad de severidad media.
  • Lectura fuera de límites. Se ha asignado el identificador CVE-2018-20679 para esta vulnerabilidad de severidad alta.
  • Errores en la administración de claves. Se ha asignado el identificador CVE-2018-0732 para esta vulnerabilidad de severidad media.

Encuesta valoración

Listado de referencias
PEPPERL+FUCHS: Multiple Products /ComtrolIO-Link Master–MultipleVulnerabilitiesmayallowremoteattackersaccess, program executionand to tap information
PEPPERL+FUCHS: Multiple vulnerabilites in Comtrol IO-Link Master. Affected versions <= 1.5.48
Etiquetas