Falta de autenticación en una función crítica en Smart PLC AC4xxS de ifm
Smart PLC AC4xxS Firmware versiones:
- Desde V4.04 hasta V4.3.17;
- V6.1.8.
CERT@VDE en coordinación con ifm electronic GmbH ha informado de una vulnerabilidad de severidad alta que podría permitir a un un atacante, no autorizado, emitir comandos maliciosos al PLC, lo que podría interrumpir o dañar la línea de producción.
Actualmente no existe una actualización que resuelva el problema. Para evitar ser afectado por la vulnerabilidad, se recomienda tomar medidas para garantizar que los componentes no tengan acceso directo a recursos de Internet ni que se pueda acceder a ellos desde redes inseguras. Asimismo, se debe utilizar las medidas de seguridad, como la autenticación y los grupos de autorización.
Para el PLC con firmware V6.1.8, se puede desactivar su interfaz http.
El endpoint aloja un script que permite a un atacante remoto no autorizado, a través de la red, poner el sistema en un estado a prueba de fallos, debido a la falta de autenticación.
Se ha asignado el identificador CVE-2024-8419 para esta vulnerabilidad.
