[Actualización 11/11/2022] Cifrado débil en productos LS Electric
Fecha de publicación 17/08/2022
Importancia
4 - Alta
Recursos Afectados
[Actualización 11/11/2022]
- LS Electric PLC:
- XGK-CPUU/H/A/S/E: todas las versiones anteriores a V3.50.
- XGI-CPUU/UD/H/S/E todas las versiones anteriores a V3.20.
- XGR-CPUH: todas las versiones anteriores a V1.80.
- XGB-XBMS: todas las versiones anteriores a V3.00.
- XGB-XBCH: todas las versiones anteriores a V1.90.
- XGB-XECH: todas las versiones anteriores a V1.30.
- LS Electric XG5000: todas las versiones anteriores a V4.0.
Descripción
Hong-Gi Kin, de Korea Internet & Security Agency (KISA), ha reportado esta vulnerabilidad al CISA, que podría permitir a un atacante descifrar la contraseña del PLC y esnifar el tráfico.
Solución
[Actualización 11/11/2022]
LS Electric recomienda que los usuarios afectados actualicen el firmware de LS ELECTRIC PLC y XG5000 a la última versión disponible:
- LS Electric PLC: se puede contactar con el Centro técnico de LS Electric (en todo el mundo o en Corea del Sur) para actualizar el firmware.
- LS Electric XG5000: actualizar a la versión 4.0 o posterior. Se puede visitar el Centro de descargas de LS Electric (en todo el mundo o en Corea del Sur ) para descargar la actualización.
Detalle
Las contraseñas no se cifran adecuadamente durante el proceso de comunicación entre el software XG5000 y el PLC afectado, lo que podría permitir a un atacante identificar, descifrar la contraseña del PLC, mediante el análisis del tráfico y obtener acceso total al controlador lógico. Se ha asignado el identificador CVE-2022-2758 para esta vulnerabilidad.
Listado de referencias
Etiquetas