Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en Arena Simulation Software de Rockwell Automation

Múltiples vulnerabilidades en Arena Simulation Software de Rockwell Automation

Fecha de publicación: 
02/08/2019
Importancia: 
4 - Alta
Recursos afectados: 

Arena Simulation Software para Manufacturing, Cat. 9502-Ax, versiones 16.00.00 y anteriores.

Descripción: 

El investigador kimiya, de 9SG Security Team, conjuntamente con Zero Day Initiative (ZDI), han reportado varias vulnerabilidades de tipo uso de memoria después de ser liberada, exposición de información, [Actualización 06/09/2019] confusión del tipo de dato e insuficiente aviso del UI en operaciones peligrosas, que afectan al producto Arena Simulation Software de Rockwell Automation. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante provocar un fallo en la sesión, dando lugar a una condición de denegación de servicio (DoS) o a la ejecución de código arbitrario.

Solución: 

Rockwell Automation ha publicado la versión 16.00.01 de Arena Simulation Software para solucionar estas vulnerabilidades.

Detalle: 
  • Un fichero Arena especialmente diseñado, abierto por un usuario, podría provocar un fallo en la aplicación o la ejecución de código arbitrario. Se ha reservado el identificador CVE-2019-13510 para esta vulnerabilidad.
  • Un fichero Arena especialmente diseñado, abierto por un usuario, podría provocar la exposición de información limitada relacionada con la estación de trabajo víctima del ataque. Se ha reservado el identificador CVE-2019-13511 para esta vulnerabilidad.

[Actualización 06/09/2019]

  • Un archivo Arena, especialmente diseñado y abierto por un usuario desprevenido, puede dar lugar a una exposición limitada de la información relacionada con la estación de trabajo. Se ha reservado el identificador CVE-2019-13519 para esta vulnerabilidad.
  • Un archivo Arena, especialmente diseñado y abierto por un usuario desprevenido, puede provocar una exposición limitada de la información relacionada con la estación de trabajo víctima del ataque. Se ha reservado el identificador CVE-2019-13521 para esta vulnerabilidad.

Encuesta valoración