Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos PTC

Fecha de publicación 01/12/2023
Identificador
INCIBE-2023-0539
Importancia
5 - Crítica
Recursos Afectados
  • Versiones 6.14.263.0 y anteriores de los productos:
    • KEPServerEX;
    • ThingWorx Kepware Server;
    • Rockwell Automation KEPServer Enterprise;
    • Software Toolbox TOP Server.
  • ThingWorx Industrial Connectivity, todas las versiones.
  • OPC-Aggregator, versiones 6.14 y anteriores.
  • ThingWorx Kepware Edge, versiones 1.7 y anteriores.
  • GE Digital Industrial Gateway Server, versiones 7.614 y anteriores.
Descripción

Shawn Hoffman ha reportado 2 vulnerabilidades, de severidad crítica y alta. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante obtener la ejecución de código a nivel de SYSTEM de Windows en el host de servicio y podría causar el bloqueo del producto, la filtración de información sensible o la conexión al producto sin la autenticación adecuada.

Solución

Actualizar los productos afectados a las siguientes versiones:

  • KEPServerEX, ThingWorx Kepware Server, ThingWorx Industrial Connectivity y OPC-Aggregator a las versiones 6.15 o posteriores.
  • ThingWorx Kepware Edge a las versiones 1.8 o superiores.
Detalle
  • KEPServerEX es vulnerable a un desbordamiento de búfer que podría permitir a un atacante bloquear el producto al que se accede o filtrar información. Se ha asignado el identificador CVE-2023-5908 para esta vulnerabilidad crítica.
  • KEPServerEX no valida correctamente los certificados de los clientes, lo que podría permitir la conexión de usuarios no autenticados. Se ha asignado el identificador CVE-2023-5909 para esta vulnerabilidad alta.
Listado de referencias