Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en módulos CPU del PLC CLICK de Automation Direct

Múltiples vulnerabilidades en módulos CPU del PLC CLICK de Automation Direct

Fecha de publicación: 
16/06/2021
Importancia: 
5 - Crítica
Recursos afectados: 

C0-1x CPUs, todas las versiones del firmware anteriores a la 3.00.

Descripción: 

Los investigadores, Irfan Ahmed y Adeen Ayub, de la Universidad de la Mancomunidad de Virginia, y Hyunguk Yoo, de la Universidad de Nueva Orleans, han reportado 3 vulnerabilidades críticas y otras 2 de severidad alta que podrían permitir a un atacante remoto realizar una escalada de privilegios, establecer una conexión de forma legítima, realizar un sniffing de la red o acceder a información confidencial.

Solución: 

Actualizar el software y firmware a la versión 3.00 u otra posterior a través del sitio web de Automation Direct.

Asimismo, el fabricante recomienda a los usuarios seguir las siguientes directrices de seguridad.

Detalle: 
  • Una vulnerabilidad de omisión de autenticación mediante una ruta o canal alternativo en el firmware afectado hace que este no proteja contra conexiones de software adicionales, lo que podría permitir a un atacante conectarse al PLC como un usuario legítimo, realizar una escalada de privilegios o acceder a información confidencial. Se han asignado los identificadores CVE-2021-32980, CVE-2021-32984 y CVE-2021-32986 para estas vulnerabilidades de severidad crítica.

Para las vulnerabilidades de severidad alta se han asignado los identificadores CVE-2021-32982 y CVE-2021-32978.

Encuesta valoración