Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en Automation Studio de B&R

Múltiples vulnerabilidades en Automation Studio de B&R

Fecha de publicación: 
03/04/2020
Importancia: 
4 - Alta
Recursos afectados: 

Automation Studio, versiones:

  • 4.0.x;
  • 4.1.x;
  • 4.2.x;
  • 4.3.11SP y anteriores;
  • 4.4.9SP y anteriores;
  • 4.5.4SP y anteriores;
  • 4.6.3SP y anteriores;
  • 4.7.2 y anteriores;
  • 4.8.1 y anteriores.
Descripción: 

El investigador, Nadav Erez, ha reportado tres vulnerabilidades de tipo gestión de privilegios incorrecta, limitación incorrecta de nombre de ruta a un directorio restringido y falta del paso de cifrado requerido que podrían permitir a un atacante eliminar archivos arbitrariamente, buscar archivos arbitrarios o realizar operaciones de escritura arbitrarias en el producto Automation Studio.

Solución: 

Actualizar a la última versión.

Detalle: 
  • Una escalada de privilegios en el servicio de actualización de B&R Automation Studio podría permitir a atacante autenticado borrar archivos arbitrarios a través de una interfaz expuesta. Se ha reservado el identificador CVE-2019-19100 para esta vulnerabilidad.
  • Una comunicación con falta de seguridad y una validación incompleta TLS en el servicio de actualización, podrían permitir a un atacante no autenticado realizar ataques MITM a través del servicio de actualización B&R. Se ha reservado el identificador CVE-2019-19101 para esta vulnerabilidad.
  • Una vulnerabilidad transversal del directorio en SharpZipLib es utilizada en el servicio de actualización en B&R lo que podría permitir a un atacante no autenticado escribir en ciertos directorios locales. Se ha reservado el identificador CVE-2019-19102 para esta vulnerabilidad.

Encuesta valoración