Múltiples vulnerabilidades en productos de WAGO
Fecha de publicación
01/09/2021
Importancia
5 - Crítica
Recursos Afectados
- Software de instalación WAGO e!COCKPIT, todas las versiones anteriores a la 1.10;
- software de instalación WAGO-I/O-Pro (CODESYS 2.3), versión 2.3.9.46, 2.3.9.47, 2.3.9.49, 2.3.9.53, 2.3.9.55, 2.3.9.61 y 2.3.9.66;
- versión FW07 y anteriores de los controladores:
- 750-362,
- 750-363,
- 750-823,
- 750-832/xxx-xxx,
- 750-862,
- 750-891;
- 750-890/xxx-xxx,
- 750-893;
- versiones de la FW4 a la FW15 de los controladores:
- 750-831/xxx-xxx,
- 750-880/xxx-xxx,
- 750-881,
- 750-889.
Descripción
Se han reportado, en coordinación con el CERT@VDE, dos vulnerabilidades de severidad crítica y otras dos de severidad alta que podrían permitir a un atacante establecer una condición de denegación de servicio.
Solución
- Para los usuarios de WAGO e!COCKPIT y WAGO-I/O-Pro (CODESYS 2.3), se recomienda que actualicen WIBU-SYSTEMS Codemeter a su última versión, de forma independiente.
- Para los usuarios del resto de productos afectados, se recomienda actualizar a la última versión de firmware disponible.
Detalle
- El paquete software de instalación de WAGO e!COCKPIT y WAGO-I/O-Pro (CODESYS 2.3) incluye la instalación de una versión de WIBU-SYSTEMS Codemeter vulnerable a una lectura fuera de límites, que podría permitir a un atacante establecer una condición de denegación de servicio o revelar el contenido de la memoria dinámica (heap). Se ha asignado el identificador CVE-2021-20093 para esta vulnerabilidad.
- Una vulnerabilidad de autenticación incorrecta en WBM (Web-Based Management) de los controladores afectados podría permitir a un atacante, no autenticado y con acceso a WBM, leer o escribir parámetros de los equipos mediante el envío de solicitudes especialmente diseñadas y así, causar una condición de denegación de servicio. Se ha asignado el identificador CVE-2021-34578 para esta vulnerabilidad.
Para las vulnerabilidades de severidad alta se han asignado los identificadores CVE-2021-20094 y CVE-2021-34581.
Listado de referencias
Etiquetas