Múltiples vulnerabilidades en I/O-Check Service de WAGO
Fecha de publicación:
30/06/2021
Importancia:
5 -
Crítica
Recursos afectados:
Están afectadas todas las versiones de firmware FW18 Parche 2 y anteriores de los siguientes productos:
- Series PFC100 (750-81xx/xxx-xxx);
- Series PFC200 (750-82xx/xxx-xxx);
- Series Wago Edge Controller 752-8303/8000-0002;
- Series Wago Touch Panel 600 Standard Line (762-4xxx);
- Series Wago Touch Panel 600 Advanced Line (762-5xxx);
- Series Wago Touch Panel 600 Marine Line (762-6xxx).
Descripción:
Uri Katz, investigador de Claroty, coordinado por el CERT@VDE, ha identificado múltiples vulnerabilidades en distintos productos de WAGO que ha reportado al propio fabricante. La explotación exitosa de estas vulnerabilidades podrían permitir a un atacante poder manipular o interrumpir el dispositivo.
Solución:
Actualizar el firmware a la versión FW18 Patch 3, publicado en junio de 2021.
Detalle:
- Un atacante podría enviar un paquete especialmente diseñado que contenga comandos del sistema operativo para bloquear el proceso iocheck y escribir en memoria. Se ha asignado el identificador CVE-2021-34566 para esta vulnerabilidad de nivel crítico.
- Un atacante podría enviar un paquete especialmente diseñado que contenga comandos del sistema operativo para provocar una denegación de servicio y una lectura fuera de límites. Se ha asignado el identificador CVE-2021-34567 para esta vulnerabilidad de nivel alto.
- Asignación de recursos sin límites: un atacante podría enviar un paquete especialmente diseñado que contenga comandos del sistema operativo para provocar una denegación de servicio. Se ha asignado el identificador CVE-2021-34568 para esta vulnerabilidad de nivel alto.
- Un atacante podría enviar un paquete especialmente diseñado que contenga comandos del sistema operativo para bloquear la herramienta de diagnóstico y escribir en memoria. Se ha asignado el identificador CVE-2021-34569 para esta vulnerabilidad de nivel crítico.
Referencias: