Argitalpen data: 2022/03/10
Garrantzia:Ertaina
Kaltetutako baliabideak:
Firmwarearen 16tik 22ra bitarteko bertsioak (azken hori salbu) honako produktuetan:
- Compact Controller CC100,
- Edge Controller,
- Series PFC100,
- Series PFC200,
- Series Touch Panel 600 Advanced Line,
- Series Touch Panel 600 Marine Line,
- Series Touch Panel 600 Standard Line.
Azalpena:
Mohamed Magdy Abumuslim ikertzaileak, CERT@VDE-k koordinatuta, larritasun ertaineko eta XSS erako ahultasun baten berri eman dio WAGO fabrikatzaileari, hainbat gailuri eragiten diena.
Konponbidea:
Firmwarearen hurrengo eguneraketa instalatzea, 2022ko bigarren hiruhilekoaren amaierarako eskuragarri egongo dena.
Ordura bitartean, ondorengo arintze neurriak aplikatzea:
- gailuak sarera duen sarbidea murriztea,
- kredentzial seguruak erabiltzea,
- gailua Internetera zuzenean ez konektatzea,
- erabiltzen ez diren TCP/UDP atakak desgaitzea.
Xehetasuna:
Web-Based Management-en (WBM) hainbat konfigurazio orrialde ahulak dira islatutako XSS (Cross-Site Scripting) erasoen aurrean. Erasotzaile batek, gailuan erabiltzaile pribilegioekin baimendutako saio hasiera baldin badu, informazio konfidentzialera sarbidea eskura lezake WBMra konektatzen den gailu batean, hori kaltetua izan ondoren. Ahultasun horretarako CVE-2022-22511 identifikatzailea esleitu da.
Etiketak:Komunikazioak, Azpiegitura kritikoak, SCADA, Ahultasuna
