Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Asignación incorrecta de permisos en RSLinx Classic de Rockwell Automation

Fecha de publicación 13/04/2020
Importancia
4 - Alta
Recursos Afectados

RSLinx Classic, versión 4.11.00 y anteriores.

Descripción

Investigadores de Applied Risk reportaron una vulnerabilidad al fabricante, de severidad alta, y de tipo asignación de permisos incorrecta para recursos críticos.

Solución

Aplicar el parche 1091155 para versiones desde 3.60 hasta 4.11, aunque el fabricante recomienda actualizar el producto afectado a la versión más reciente.

Detalle

Un atacante local, autenticado, podría aprovechar esta vulnerabilidad para modificar una clave de registro, lo que conduciría a la ejecución de código malicioso utilizando los privilegios del sistema al abrir RSLinx Classic. Se ha reservado el identificador CVE-2020-10642 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
ICS Advisory (ICSA-20-100-01) Rockwell Automation RSLinx Classic
RSLinx Classic Privilege Escalation Vulnerability
Etiquetas