Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en Haas Automation Controller

Múltiples vulnerabilidades en Haas Automation Controller

Fecha de publicación: 
26/10/2022
Identificador: 
INCIBE-2022-0987
Importancia: 
5 - Crítica
Recursos afectados: 

Haas Controller, versión 100.20.000.1110.

Descripción: 

Los investigadores Marco Balduzzi y Francesco Sortino han reportado 3 vulnerabilidades de severidad crítica en Haas Controller que podrían permitir a un atacante no autorizado causar una denegación de servicio, dañar las herramientas utilizadas en la línea de producción, introducir defectos en piezas y realizar una ejecución remota de código.

Solución: 

Tanto el fabricante como los investigadores aportan una serie de medidas de mitigación defensivas que pueden consultarse en la sección MITIGATIONS del aviso del CISA.

Detalle: 
  • La autenticación no es compatible con la versión 100.20.000.1110 del controlador Haas cuando se utiliza el servicio 'Ethernet Q Commands', lo que podría permitir que cualquier usuario que se encuentre en el mismo segmento de red que el controlador, aunque esté conectado de forma remota, acceda al servicio y escriba macros no autorizadas en el dispositivo. Se ha asignado el identificador CVE-2022-2474 para esta vulnerabilidad.
  • La versión 100.20.000.1110 del controlador Haas tiene una granularidad insuficiente de control de acceso cuando se utiliza el servicio 'Ethernet Q Commands'. Cualquier usuario podría escribir macros en registros fuera del rango accesible autorizado, lo que podría permitir el acceso a recursos privilegiados o fuera de contexto. Se ha asignado el identificador CVE-2022-2475 para esta vulnerabilidad.
  • El tráfico de comunicación que implica el servicio 'Ethernet Q Commands' del controlador Haas versión 100.20.000.1110 se transmite en texto claro, lo que podría permite a un atacante obtener información sensible que se transmitiese desde y hacia el controlador. Se ha asignado el identificador CVE-2022-41636 para esta vulnerabilidad.

Encuesta valoración