Vulnerabilidad de denegación de servicio en productos Wago
- Todas las versiones de Telecontrol Configurator;
- WagoAppRTU, versiones anteriores a 1.4.6.0.
CERT@VDE, en coordinación con WAGO, ha informado de una vulnerabilidad, descubierta por Sofia Pisani, de severidad alta en la librería IEC de WagoAppRTU, que podría causar una denegación de servicio en los equipos afectados.
Wago ha anunciado que la versión 1.4.6.0 de WagoAppRTU, con solución para WAGO Telecontrol Configurator, estará disponible a través del soporte de Wago para finales de año.
CERT@VDE recomienda restringir el acceso a la red a los dispositivos afectados y no conectarlos directamente a Internet.
La vulnerabilidad encontrada en el intérprete MMS de WagoAppRTU se produce al enviar paquetes con formato incorrecto, ya que no se realiza una correcta validación de entrada. Esto podría permitir a un atacante remoto, no autenticado, enviar paquetes específicamente diseñados que causen una condición de denegación de servicio hasta que se reinicie el equipo.
Se ha asignado el identificador CVE-2023-5188 para esta vulnerabilidad.
