Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de SCI

Vulnerabilidad por el uso de un algoritmo criptográfico roto o arriesgado en B&R Automation

Fecha06/02/2024
Importancia5 - Crítica
Recursos Afectados
  • B&R Automation Runtime, versiones anteriores a I4.93.
Descripción

Centro de Garantía de Seguridad de Dispositivos de ABB ha reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante, no autenticado, ejecutar ataques de Man-in the-Middle (MITM), o descifrar las comunicaciones entre los productos afectados y otras partes.

Solución

B&R recomienda actualizar los productos afectados a la última versión disponible de software.

Detalle

Vulnerabilidad en el componente del servidor FTP incluido en las versiones de los productos mencionados anteriormente. Un atacante, no autenticado, con acceso a la red que consiguiese explotar esta vulnerabilidad, podría ejecutar ataques Man-int-he-Middle o descifrar las comunicaciones entre los productos afectados y otras partes.

Se ha asignado el identificador CVE-2024-0323 para esta vulnerabilidad.

Múltiples vulnerabilidades en productos de Pilz GmbH & Co. KG

Fecha06/02/2024
Importancia5 - Crítica
Recursos Afectados
  • PIT gb RLLE y down ETH, versiones anteriores a 02.02.00.
  • PIT gb RLLE y up ETH, versiones anteriores a 02.02.00.
  • PITreader base unit (HR 01), versiones anteriores a 01.05.04.
  • PITreader base unit (HR 02), versiones anteriores a 02.02.00.
  • PITreader card unit, versiones anteriores a 02.02.00.
  • PITreader S base unit, versiones anteriores a 02.02.00.
  • PITreader S card unit, versiones anteriores a 02.02.00.
Descripción

El CERT@VDE, en coordinación con Pilz, han reportado seis vulnerabilidades de severidad crítica, cuya explotación podría permitir a un atacante obtener el control total del sistema.

Solución

Pilz recomienda instalar la última versión de firmware disponible.

Detalle
  • CVE-2023-24585: vulnerabilidad de escritura fuera de los límites. Un paquete de red especialmente diseñado podría dañar la memoria.
  • CVE-2023-25181: vulnerabilidad de desbordamiento de búfer basada en montículo. Un conjunto de paquetes de red especialmente diseñado puede conducir a la ejecución de código arbitrario. Un atacante puede enviar un paquete malicioso para activar esta vulnerabilidad.
  • CVE-2023-27882: vulnerabilidad de desbordamiento de búfer basada en montículo. Un paquete de red especialmente diseñado puede conducir a la ejecución de código. Un atacante puede enviar un paquete malicioso para activar esta vulnerabilidad.
  • CVE-2023-28391: vulnerabilidad de corrupción de memoria en la funcionalidad de análisis del encabezado del servidor HTTP de Weston Embedded uC-HTTP v3.01.01. Los paquetes de red especialmente diseñados pueden conducir a la ejecución de código. Un atacante puede enviar un paquete malicioso para activar esta vulnerabilidad.
  • CVE-2023-28379: vulnerabilidad de corrupción de memoria en la funcionalidad de límite de forma del servidor HTTP de Weston Embedded uC-HTTP v3.01.01. Un paquete de red especialmente diseñado puede conducir a la ejecución de código. Un atacante puede enviar un paquete malicioso para activar esta vulnerabilidad.
  • CVE-2023-31247: vulnerabilidad de corrupción de memoria en la funcionalidad de análisis del encabezado HTTP Server Host de Weston Embedded uC-HTTP v3.01.01. Un paquete de red especialmente diseñado puede provocar la ejecución de código. Un atacante puede enviar un paquete malicioso para activar esta vulnerabilidad.