Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Dos nuevos avisos de SCI

Múltiples vulnerabilidades en productos de Electrolink

Fecha17/04/2024
Importancia4 - Alta
Recursos Afectados
  • 10W, 100W, 250W, Compact DAB Transmitter;
  • 500W, 1kW, 2kW Medium DAB Transmitter;
  • 2.5kW, 3kW, 4kW, 5kW High Power DAB Transmitter;
  • 100W, 500W, 1kW, 2kW Compact FM Transmitter;
  • 3kW, 5kW, 10kW, 15kW, 20kW, 30kW Modular FM Transmitter;
  • 15W - 40kW Digital FM Transmitter;
  • BI, BIII VHF TV Transmitter;
  • 10W - 5kW UHF TV Transmitter.
Descripción

Gjoko Krstic ha reportado 7 vulnerabilidades: 6 de severidad alta y 1 de severidad media que podrían permitir a un atacante obtener acceso completo al sistema, evitar que el dispositivo transmita, escalar privilegios, cambiar credenciales y ejecutar código arbitrario.

Solución

Se recomienda a los usuarios de los productos afectados que se comuniquen con Electrolink para obtener información adicional.

Detalle

Las vulnerabilidades de severidad alta se clasifican en las siguientes tipologías:

  • Omisión de autenticación mediante datos supuestamente inmutables (CVE-2024-3741 y CVE-2024-22179).
  • Dependencia de cookies sin validación ni verificación de integridad (CVE-2024-22186 y CVE-2024-21872).
  • Falta autenticación para función crítica (CVE-2024-1491).
  • Almacenamiento en texto claro de información confidencial (CVE-2024-3742).

Se ha asignado el identificador CVE-2024-21846 para la vulnerabilidad de severidad media.

Validación de entrada incorrecta en productos de Rockwell Automation

Fecha17/04/2024
Importancia5 - Crítica
Recursos Afectados
  • ControlLogix 5580: versión V35.011;
  • GuardLogix 5580: versión V35.011;
  • CompactLogix 5380: versión V35.011;
  • 1756-EN4TR: versión V5.001.
Descripción

Rockwell Automation ha indormado de una vulnerabilidad de severidad crítica que podría permitir que un atacante provoque un fallo importante no recuperable (MNRF) que derive en una indisponibilidad del producto afectado.

Solución

Rockwell Automation ha publicado actualizaciones de productos que abordan esta vulnerabilidad:

  • ControlLogix 5580: V35.013 o V36.011.
  • GuardLogix 5580: V35.013 o V36.011.
  • CompactLogix 5380: V35.013 o V36.011.
  • 1756-EN4TR: V6.001.
Detalle

La vulnerabilidad de severidad crítica detectada afecta a un tipo específico de paquete fragmentado con formato incorrecto que puede causar un fallo importante no recuperable (MNRF). Si se explota, el producto afectado dejará de estar disponible y requerirá un reinicio manual para recuperarlo. Además, un MNRF podría provocar una pérdida de visión y/o control de los dispositivos conectados.

Se ha asignado el identificador CVE-2024-349 para esta vulnerabilidad.