Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en OPC UA C++ Demo Server de Unified Automation

Fecha de publicación 29/07/2022
Identificador

INCIBE-2022-0855

Importancia
4 - Alta
Recursos Afectados

OPC UA C++ Demo Server.

Descripción

Se han publicado dos vulnerabilidades en OPC UA C++ Demo Server que podrían permitir a un atacante la denegación del servicio.

Solución

Unified Automation ha publicado una actualización para corregir esta vulnerabilidad.

Detalle
  • Un fallo en la gestión de certificados podría permitir a un atacante remoto, no autenticado, manipular un certificado y forzar al servidor para entrar en un bucle infinito, provocando la denegación del servicio. Se ha asignado el identificador CVE-2022-37013 para esta vulnerabilidad.
  • El fallo específico en el método OpcUa_SecureListener_ProcessSessionCallRequest podría permitir a un atacante remoto, no autenticado, manipular mensajes OPC UA para forzar al servidor a actualizar incorrectamente el contador de referencias, provocando la denegación del servicio. Se ha asignado el identificador CVE-2022-37012 para esta vulnerabilidad.

Encuesta valoración

Listado de referencias
(Pwn2Own) Unified Automation OPC UA C++ Infinite Loop Denial-of-Service Vulnerability
(Pwn2Own) Unified Automation OPC UA C++ Improper Update of Reference Count Denial-of-Service Vulnerability
Etiquetas