Múltiples vulnerabilidades en APROL de B&R Industrial Automation

Fecha de publicación:

06/02/2023

Identificador:

INCIBE-2023-0041

Importancia:

5 - Crítica

Recursos afectados:

APROL, versiones anteriores a R 4.2-07.

Descripción:

Nataliya Tlyapova, investigadora de Positive Technologies, ha reportado 5 vulnerabilidades en APROL: 2 de severidad crítica y 3 altas, cuya explotación podría causar una denegación de servicio (DoS), ejecución de código arbitrario o dañar la integridad y confidencialidad de los datos de configuración.

Solución:

El fabricante ofrece una actualización que permite al cliente restringir el acceso al componente afectado utilizando la autenticación de cliente TLS (Mutual TLS), disponible en las versiones APROL R 4.2-07 y superiores con AutoYaST V4.2-070.0.120102 y superiores.

Detalle:

Las vulnerabilidades críticas se describen a continuación:

La falta de autenticación al crear y gestionar la base de datos APROL podría permitir cambios en la configuración del sistema. Se ha asignado el identificador CVE-2022-43761 para esta vulnerabilidad.
Una validación insuficiente de los parámetros de entrada al cambiar la configuración en el servidor Tbase en APROL podría provocar un desbordamiento de búfer que originase una condición de DoS o la ejecución de código arbitrario. Se ha asignado el identificador CVE-2022-43764 para esta vulnerabilidad.

Referencias:

B&R APROL Several Issues in APROL database

Etiquetas:

Actualización

Infraestructuras críticas

Privacidad

SSL/TLS

Vulnerabilidad

Accesos corporativos

Múltiples vulnerabilidades en APROL de B&R Industrial Automation

Múltiples vulnerabilidades en dispositivos inalámbricos OneWireless de Honeywell

Vulnerabilidad de autorización indebida en productos de AVEVA

Múltiples vulnerabilidades en Autodesk FBX SDK

Vulnerabilidad de inyección de código en productos de GE Digital

Vulnerabilidad de control de acceso en PLC CJ1M de Omron