miércoles, 23 de junio de 2021

Vulnerabilidad de desbordamiento de búfer y de inyección de código en CODESYS

Especialistas en ciberseguridad reportan el hallazgo de al menos 4 vulnerabilidades críticas en CODESYS V2 Runtime Toolkit, un conjunto de herramientas para CODESYS, el entorno de desarrollo para la programación de controladores conforme con el estándar industrial internacional IEC 61131-3. Acorde al reporte, la explotación exitosa de estas fallas permitiría desplegar ataques de denegación de servicio (DoS), ejecución de código arbitrario, desbordamiento de búfer y otros ataques.

A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de investigación y puntajes acorde al Common Vulnerability Scoring System (CVSS).

CVE-2021-30186: Un error de límite en los desarrollos afectados permitiría a los atacantes remotos puede enviar una solicitud especialmente diseñada, desencadenando un desbordamiento del búfer basado en el montón y llevando a una condición DoS.

Esta es una falla de severidad media y recibió un puntaje CVSS de 6.5/10.

CVE-2021-30188: Un error de límite permitiría a los atacantes remotos no autenticados enviar una solicitud especialmente diseñada, desencadenar un desbordamiento del búfer basado en la pila y ejecutar código arbitrario.  

La falla recibía un puntaje de 8.5/10.                     

CVE-2021-30195: La validación inadecuada de las entradas proporcionadas por los usuarios permitiría a los atacantes remotos pasar una entrada especialmente diseñada a la aplicación afectada.

Esta vulnerabilidad recibió un puntaje de 6.5/10 y permitiría el despliegue de ataques DoS.

CVE-2021-30187: La validación de entrada incorrecta permite a los usuarios locales pasar datos especialmente diseñados a la aplicación y ejecutar comandos arbitrarios del sistema operativo objetivo.

Esta falla recibió un puntaje CVSS de 6.8/10.

Las vulnerabilidades residen en las siguientes versiones y productos afectados:

  • CODESYS V2 Runtime Toolkit: cualquier versión anterior a v2.4.7.55
  • CODESYS PLCWinNT: cualquier versión anterior a v2.4.7.55

Las fallas deben ser explotadas de forma local, lo que reduce significativamente el riesgo de ataque. Las actualizaciones ya están disponibles, por lo que CODESYS recomienda a los usuarios de implementaciones afectadas instalar los parches de seguridad a la brevedad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).

El cargo Vulnerabilidad de desbordamiento de búfer y de inyección de código en CODESYS apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

No hay comentarios.:

Publicar un comentario