Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en RCC de Horner Automation

Fecha de publicación 02/12/2022
Identificador

INCIBE-2022-1039

Importancia
5 - Crítica
Recursos Afectados

Remote Compact Controller (RCC) 972, versión de firmware 15.40.

Descripción

El investigador M1etz, a través del CERT-Bund, ha informado 3 vulnerabilidades, 2 de severidad alta y 1 de severidad crítica que podrían permitir a un atacante obtener credenciales para el dispositivo afectado y obtener el control completo.

Solución

Horner Automation recomienda que los usuarios actualicen RCC 972 a la versión de firmware 15.60 o posterior

Detalle
  • La explotación de las vulnerabilidades de severidad alta, podría permitir que el atacante obtenga credenciales para ejecutar servicios como el Protocolo de Transferencia de Archivos (FTP) y el Protocolo de Transferencia de Hipertexto (HTTP) o leer valores confidenciales y claves variables del dispositivo. Se han asignado los identificadores CVE-2022-2640 y CVE-2022-2642 para estas vulnerabilidades.
  • La explotación de la vulnerabilidad de severidad crítica podría permitir que un atacante realice cambios no autorizados en el dispositivo, ejecute código arbitrario de forma remota o provoque una condición de denegación de servicio. Se ha asignado el identificador CVE-2022-2641 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
ICS Advisory (ICSA-22-335-02) - Horner Automation Remote Compact Controller Original release date: December 01, 2022
Etiquetas