Vulnerabilidad de validación de entrada incorrecta en múltiples productos de Bosch
- Rexroth IndraMotion:
- MLC;
- MLD;
- MTX;
- ctrlX CORE PLC App, versión 01V08 y anteriores.
Bosch ha publicado una vulnerabilidad de severidad alta que podría permitir a un atacante causar una denegación de servicio del PLC, modificar parámetros de ejecución del PLC o acceder a datos confidenciales.
Actualizar ctrlX CORE PLC App a la versión 01V10.
En cuanto a IndraMotion MLC, MTX o MLD, como solución se puede optar por:
- Usar ctrlX CORE como pasarela de seguridad para la protección de IndraMotion MLC, MTX o MLD.
- Usar ctrlX CORE en lugar de IndraMotion MLC, MTX o MLD.
Hasta que las actualizaciones estén disponibles, Bosch recomienda implementar las medidas de mitigación descritas en la guía “Security Guideline Electric Drives and Controls”.
Una vulnerabilidad de validación de entrada incorrecta en el protocolo de enrutamiento para la comunicación entre PLC y clientes podría permitir a un atacante enviar paquetes de comunicación, especialmente diseñados, para cambiar el esquema de direccionamiento de los routers, así como desviar, añadir, eliminar o cambiar paquetes de comunicación de bajo nivel entre el PLC y los clientes. Se ha asignado el identificador CVE-2021-29242 para esta vulnerabilidad.
