Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en pasarelas WirelessHART de Pepperl+Fuchs

Fecha de publicación 17/08/2021
Importancia
5 - Crítica
Recursos Afectados

Los siguientes productos, con la versión de firmware 3.0.7, 3.0.8 o 3.0.9:

  • WHA-GW-F2D2-0-AS- Z2-ETH y
  • WHA-GW-F2D2-0-AS- Z2-ETH.EIP.
Descripción

Pepperl+Fuchs, en coordinación con CERT@VDE, ha reportado diecinueve vulnerabilidades, una de severidad crítica, tres de severidad alta, trece de severidad media y dos de severidad baja, que podrían permitir a un atacante remoto causar una condición de denegación de servicio o la ejecución de código.

Solución

Como solución se recomienda tomar medidas externas:

  • Minimizar la exposición en la red de los productos afectados y asegurar que no son accesibles a través de Internet.
  • Aislar los productos afectados de la red corporativa.
  • Si el acceso remoto es imprescindible, utilizar una VPN.
Detalle

Una vulnerabilidad de tipo credenciales embebidas en los servicios SSH y Telnet presente en las tres versiones del firmware de los productos afectados, podría permitir a un atacante remoto causar una condición de denegación de servicio o la ejecución de código, mediante el envío de un paquete especialmente diseñado. Se ha asignado el identificador CVE-2021-34565 para esta vulnerabilidad de severidad crítica.

Para las vulnerabilidades de severidad alta se han asignado los identificadores: CVE-2021-33555, CVE-2016-10707 y CVE-2021-34561.

Para las vulnerabilidades de severidad media se han asignado los identificadores: CVE-2020-11023, CVE-2020-11022, CVE-2020-7656, CVE-2019-11358, CVE-2015-9251, CVE-2014-6071, CVE-2012-6708, CVE-2011-4969, CVE-2007-2379, CVE-2021-34559, CVE-2021-34560, CVE-2021-34562 y CVE-2021-34564.

Para las vulnerabilidades de severidad baja se han asignado los identificadores: CVE-2021-34563 y CVE-2013-0169.

Encuesta valoración