Múltiples vulnerabilidades en controladores robóticos FANUC
Fecha de publicación 09/12/2021
Importancia
4 - Alta
Recursos Afectados
- R-30iA, R-30iA Mate; v7: v7.20, v7.30, v7.40, v7.43, v7.50, v 7.63 y v7.70.
- R-30iB, R-30iB Mate; v8: v8.10, v8.13, v8.20, v8.23, v8.26, v8.30, v8.33 y v8.36.
- R-30iB Plus, R-30iB Mate Plus, R-30iB Compact Plus, R-30iB Mini Plus; v9: v9.10, v9.13, v9.16, v9.30, v9.36 y v9.40.
Descripción
Tri Quach, de Amazon, ha notificado al CISA 2 vulnerabilidades altas cuya explotación podría bloquear el dispositivo al que se accede, es decir, una condición de desbordamiento de búfer podría permitir la ejecución remota de código.
Solución
FANUC recomienda las siguientes acciones, ambas documentadas en el Manual de Configuración y Operaciones en Internet de FANUC:
- FANUC Server Access Control (FSAC): los usuarios pueden configurar el acceso al servidor web de FANUC basándose en la dirección IP.
- Network Protocol Access Level: los usuarios pueden configurar qué protocolos son utilizables en el controlador creando un cortafuegos en el que los usuarios pueden cerrar los puertos no deseados en función del nivel de acceso elegido.
Los usuarios de FANUC también pueden encontrar cualquier información adicional visitando el sitio web de FANUC o poniéndose en contacto con FANUC.
Detalle
- Los productos afectados son vulnerables a los errores de coerción de enteros, que provocan el bloqueo del dispositivo. Se requiere un reinicio. Se ha asignado el identificador CVE-2021-32996 para esta vulnerabilidad.
- Los productos afectados son vulnerables a una escritura fuera de límites, que podría permitir a un atacante remoto ejecutar código arbitrario. Se requiere INIT START/restauración desde copia de seguridad. Se ha asignado el identificador CVE-2021-32998 para esta vulnerabilidad.
Listado de referencias
Etiquetas