Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad de denegación de servicio en productos Rockwell Automation

Fecha de publicación 29/07/2022
Identificador

INCIBE-2022-0853

Importancia
3 - Media
Recursos Afectados
  • Software FactoryTalk Linx Enterprise: versiones 6.20, 6.21 y 6.30;
  • HIM mejorado (eHIM) para PowerFlex 6000T: versión 1.001;
  • Software Connected Components Workbench: versiones 11, 12, 13 y 20;
  • FactoryTalk View Site Edition: versión 13.
Descripción

Rockwell Automation ha informado de una vulnerabilidad que podría causar una condición de denegación de servicio presente en varios componentes debido a la forma en el fabricante utiliza el navegador web Chromium en sus productos.

Solución

Rockwell Automation está en proceso de probar y validar el parche para cada producto a medida que el firmware actualizado esté disponible.

Adicionalmente se recomienda:

  • FactoryTalk View Site Edition evitar usar el control del navegador web o aplicar manualmente la versión actualizada de WebView2 reemplazando el archivo Microsoft WebView2 en el directorio C:\Program Files (x86)\Rockwell Software\RS View Enterprise\Microsoft.WebView2.FixedVersionRuntime copiando y pegando la nueva versión del software en la carpeta, asegurándose de no eliminar el contenido de la carpeta antes de pegar el nuevo archivo.
  • Enhanced HIM (eHIM) para Power Flex 6000T deben actualizar el navegador Microsoft Edge a la versión 99.0.1150 o posterior.
Detalle

La vulnerabilidad detectada afecta al acceso a un recurso por la utilización de un tipo incompatible y se produce debido a la forma en que Rockwell Automation utiliza el navegador web Chromium La explotación de esta vulnerabilidad puede hacer que los productos afectados dejen de estar disponibles temporalmente. Se ha asignado el identificador CVE-2022-1096 a esta vulnerabilidad.

Encuesta valoración