Instituto Nacional de ciberseguridad. Sección Incibe

Avisos SCI

[Actualización 27/09/2023] Múltiples vulnerabilidades en productos WAGO

Fecha26/09/2023
Importancia5 - Crítica
Recursos Afectados
  • WAGO-I/O-Pro (CODESYS 2.3), versiones desde 2.3.9.45 hasta 2.3.9.70 (incluida).
Descripción

WAGO, en coordinación con el CERT@VDE, ha notificado 2 vulnerabilidades: una de severidad crítica y otra alta, detectadas en WIBU-SYSTEMS Codemeter, que se instala por defecto en los productos afectados de WAGO.

Solución

Hasta que esté disponible una actualización para e!COCKPIT y WAGO-I/O-Pro (CODESYS 2.3), el fabricante recomienda a los usuarios actualizar WIBU-SYSTEMS Codemeter instalando la última versión disponible.

Detalle

Una vulnerabilidad crítica de desbordamiento de búfer en el servicio de red Wibu CodeMeter Runtime, hasta la versión 7.60b, podría permitir a un atacante remoto, no autenticado, ejecutar código y obtener acceso completo al host. Se ha asignado el identificador CVE-2023-3935 para esta vulnerabilidad.

La vulnerabilidad de severidad alta tiene asignado el identificador CVE-2023-4701.


Múltiples vulnerabilidades en Baker Hughes Bently Nevada 3500

Fecha27/09/2023
Importancia4 - Alta
Recursos Afectados

Bently Nevada 3500 Rack (TDI firmware), versión 5.05.

Descripción

Diego Zaffaroni, de Nozomi Networks, ha informado de 3 vulnerabilidades detectadas en el sistema de protección de maquinaria 3500 de Bently Nevada, cuya explotación podría permitir a un atacante sustraer información sensible u obtener acceso al dispositivo afectado.

Solución

El fabricante recomienda a los usuarios seguir sus directrices de hardening para reducir el riesgo de explotación de estas vulnerabilidades. Los clientes que se hayan registrado para acceder a Baker Hughes DAM pueden consultar directamente estas directrices.

Aquellos clientes sin acceso a Baker Hughes DAM pueden contactar con el soporte de Bently para solicitar el documento.

Detalle

Bently Nevada 3500 System tiene una vulnerabilidad de severidad alta en su funcionalidad de recuperación de contraseñas, que podría ser utilizada por un atacante para acceder a las contraseñas almacenadas en el dispositivo. Se ha asignado el identificador CVE-2023-34437 para esta vulnerabilidad.

Las vulnerabilidades de severidad media tienen asignadas los identificadores CVE-2023-34441 y CVE-2023-36857.