Múltiples vulnerabilidades en pasarelas WirelessHART de Pepperl+Fuchs
Los siguientes productos, con la versión de firmware 3.0.7, 3.0.8 o 3.0.9:
- WHA-GW-F2D2-0-AS- Z2-ETH y
- WHA-GW-F2D2-0-AS- Z2-ETH.EIP.
Pepperl+Fuchs, en coordinación con CERT@VDE, ha reportado diecinueve vulnerabilidades, una de severidad crítica, tres de severidad alta, trece de severidad media y dos de severidad baja, que podrían permitir a un atacante remoto causar una condición de denegación de servicio o la ejecución de código.
Como solución se recomienda tomar medidas externas:
- Minimizar la exposición en la red de los productos afectados y asegurar que no son accesibles a través de Internet.
- Aislar los productos afectados de la red corporativa.
- Si el acceso remoto es imprescindible, utilizar una VPN.
Una vulnerabilidad de tipo credenciales embebidas en los servicios SSH y Telnet presente en las tres versiones del firmware de los productos afectados, podría permitir a un atacante remoto causar una condición de denegación de servicio o la ejecución de código, mediante el envío de un paquete especialmente diseñado. Se ha asignado el identificador CVE-2021-34565 para esta vulnerabilidad de severidad crítica.
Para las vulnerabilidades de severidad alta se han asignado los identificadores: CVE-2021-33555, CVE-2016-10707 y CVE-2021-34561.
Para las vulnerabilidades de severidad media se han asignado los identificadores: CVE-2020-11023, CVE-2020-11022, CVE-2020-7656, CVE-2019-11358, CVE-2015-9251, CVE-2014-6071, CVE-2012-6708, CVE-2011-4969, CVE-2007-2379, CVE-2021-34559, CVE-2021-34560, CVE-2021-34562 y CVE-2021-34564.
Para las vulnerabilidades de severidad baja se han asignado los identificadores: CVE-2021-34563 y CVE-2013-0169.