Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Denegación de servicio en productos TRUMPF

Fecha de publicación 16/08/2022
Identificador

INCIBE-2022-0881

Importancia
4 - Alta
Recursos Afectados
  • MOS, versiones anteriores a la 6.3.2;
  • OPC UA Proxy, versiones anteriores a la 2.5.0.
Descripción

TRUMPF, en coordinación con el CERT@VDE, ha publicado varias vulnerabilidades en el servidor OPC UA en C++, basado en OPC UA SDK de Unified Automation, que podrían permitir a un atacante enviar datos maliciosos a la aplicación y provocar la denegación de servicio.

Solución

Utilizar las versiones actualizadas del servidor TRUMPF OPC UA, disponibles a través de MyTRUMPF.

Detalle
  • Un consumo incontrolado de recursos en OPC UA .NET Standard Stack 1.04.368, podría permitir a un atacante remoto provocar el cierre inesperado del sistema a través del envío de un gran número de mensajes. Se ha asignado el identificador CVE-2022-29864 para esta vulnerabilidad.
  • Una vulnerabilidad de bucle infinito podría permitir a un atacante remoto colapsar la aplicación a través de un mensaje especialmente diseñado. Se ha asignado el identificador CVE-2022-29862 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
TRUMPF: Products prone to Unified Automation vulnerabilities
Etiquetas