Especialistas en ciberseguridad reportan el hallazgo de al menos 4 vulnerabilidades críticas en CODESYS V2 Runtime Toolkit, un conjunto de herramientas para CODESYS, el entorno de desarrollo para la programación de controladores conforme con el estándar industrial internacional IEC 61131-3. Acorde al reporte, la explotación exitosa de estas fallas permitiría desplegar ataques de denegación de servicio (DoS), ejecución de código arbitrario, desbordamiento de búfer y otros ataques.
A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de investigación y puntajes acorde al Common Vulnerability Scoring System (CVSS).
CVE-2021-30186: Un error de límite en los desarrollos afectados permitiría a los atacantes remotos puede enviar una solicitud especialmente diseñada, desencadenando un desbordamiento del búfer basado en el montón y llevando a una condición DoS.
Esta es una falla de severidad media y recibió un puntaje CVSS de 6.5/10.
CVE-2021-30188: Un error de límite permitiría a los atacantes remotos no autenticados enviar una solicitud especialmente diseñada, desencadenar un desbordamiento del búfer basado en la pila y ejecutar código arbitrario.
La falla recibía un puntaje de 8.5/10.
CVE-2021-30195: La validación inadecuada de las entradas proporcionadas por los usuarios permitiría a los atacantes remotos pasar una entrada especialmente diseñada a la aplicación afectada.
Esta vulnerabilidad recibió un puntaje de 6.5/10 y permitiría el despliegue de ataques DoS.
CVE-2021-30187: La validación de entrada incorrecta permite a los usuarios locales pasar datos especialmente diseñados a la aplicación y ejecutar comandos arbitrarios del sistema operativo objetivo.
Esta falla recibió un puntaje CVSS de 6.8/10.
Las vulnerabilidades residen en las siguientes versiones y productos afectados:
- CODESYS V2 Runtime Toolkit: cualquier versión anterior a v2.4.7.55
- CODESYS PLCWinNT: cualquier versión anterior a v2.4.7.55
Las fallas deben ser explotadas de forma local, lo que reduce significativamente el riesgo de ataque. Las actualizaciones ya están disponibles, por lo que CODESYS recomienda a los usuarios de implementaciones afectadas instalar los parches de seguridad a la brevedad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
El cargo Vulnerabilidad de desbordamiento de búfer y de inyección de código en CODESYS apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.
Ver Fuente
No hay comentarios.:
Publicar un comentario