Inicio / Alerta Temprana / Avisos Sci / Múltiples vulnerabilidades en productos Phoenix Contact

Múltiples vulnerabilidades en productos Phoenix Contact

Fecha de publicación: 
23/06/2021
Importancia: 
5 - Crítica
Recursos afectados: 
  • AXL F BK PN TPS XC, versiones de firmware anteriores a 1.30 y de hardware anteriores a la 01;
  • AXL F BK PN TPS, versiones de firmware anteriores a 1.30 y de hardware anteriores a la 02;
  • AXL F BK EIP, versiones de firmware anteriores a 1.30 y de hardware anteriores a la 05;
  • AXL F BK EIP EF, versiones de firmware anteriores a 1.30 y de hardware anteriores a la 01;
  • AXL F BK ETH, versiones de firmware anteriores a 1.30 y de hardware anteriores a la 05;
  • AXL F BK ETH XC, versiones de firmware anteriores a 1.30 y de hardware anteriores a la 05;
  • AXL F BK S3, versiones de firmware anteriores a 1.40 y de hardware anteriores a la 05;
  • AXL F BK PN, todas las versiones;
  • AXL F BK PN XC, todas las versiones;
  • AXL F BK ETH NET2, todas las versiones;
  • AXL F BK SAS, todas las versiones;
  • IL PN BK-PAC, todas las versiones;
  • IL PN BK DI8 DO4 2TX-PAC, todas las versiones;
  • IL PN BK DI8 DO4 2SCRJ-PAC, todas las versiones;
  • IL ETH BK DI8 DO4 2TX-XC-PAC, todas las versiones;
  • IL ETH BK DI8 DO4 2TX-PAC, todas las versiones;
  • IL EIP BK DI8 DO4 2TX-PAC, todas las versiones;
  • IL S3 BK DI8 DO4 2TX-PAC, todas las versiones;
  • ILC1x0, todas las versiones;
  • ILC1x1, todas las versiones;
  • Automationworx Software Suite versión 1.87 y anteriores, los siguientes componentes:
    • PC Worx;
    • PC Worx Express;
    • Config+;
  • AXC F 1152, versión 2021.0 LTS y anteriores;
  • AXC F 2152, versión 2021.0 LTS y anteriores;
  • AXC F 3152, versión 2021.0 LTS y anteriores;
  • RFC 4072S, versión 2021.0 LTS y anteriores;
  • AXC F 2152 Starterkit, versión 2021.0 LTS y anteriores;
  • PLCnext Technology Starterkit, versión 2021.0 LTS y anteriores;
  • SMARTRTU AXC SG, versión V1.6.0.1 y anteriores;
  • SMARTRTU AXC IG, versión V1.0.0.0 y anteriores;
  • ENERGY AXC PU, versión V4.10.0.0 y anteriores;
  • EEM-SB370-C, versión 2021.02.01 y anteriores;
  • EEM-SB371-C, versión 2021.02.01 y anteriores;
  • CHARX control modular 3000, versión V1.0.11 y anteriores;
  • CHARX control modular 3050, versión V1.0.11 y anteriores;
  • CHARX control modular 3100, versión V1.0.11 y anteriores;
  • CHARX control modular 3150, versión V1.0.11 y anteriores;
  • FL MGUARD DM UNLIMITED, versión 1.12 y anteriores;
  • TC ROUTER 3002T-4G, versión 2.06.3 y anteriores;
  • TC ROUTER 2002T-3G, versión 2.06.3 y anteriores;
  • TC ROUTER 3002T-4G, versión 2.06.3 y anteriores;
  • TC ROUTER 2002T-3G, versión 2.06.3 y anteriores;
  • TC ROUTER 3002T-4G VZW, versión 2.06.3 y anteriores;
  • TC ROUTER 3002T-4G ATT, versión 2.06.3 y anteriores;
  • CLOUD CLIENT 1101T-TX/TX, versión 2.06.4 y anteriores;
  • TC ROUTER 4002T-4G EU, versión 4.5.72.100 y anteriores;
  • TC ROUTER 4102T-4G EU WLAN, versión 4.5.72.100 y anteriores;
  • TC ROUTER 4202T-4G EU WLAN, versión 4.5.72.100 y anteriores;
  • CLOUD CLIENT 2002T-4G EU, versión 4.5.72.100 y anteriores;
  • CLOUD CLIENT 2002T-WLAN, versión 4.5.72.100 y anteriores;
  • CLOUD CLIENT 2102T-4G EU WLAN, versión 4.5.72.100 y anteriores;
  • ILC 2050 BI, versión 1.5.1 y anteriores;
  • ILC 2050 BI-L, versión 1.5.1 y anteriores;
  • SMARTRTU AXC SG, versión V1.6.0.1 y anteriores;
  • SMARTRTU AXC IG, versión V1.0.0.0 y anteriores;
  • ENERGY AXC PU, versión V4.10.0.0 y anteriores;
  • FL COMSERVER UNI 232/422/485, versiones anteriores a la 2.40;
  • FL COMSERVER UNI 232/422/485-T, versiones anteriores a la 2.40;
  • FL SWITCH SMCS 16TX, versión 4.7 y anteriores;
  • FL SWITCH SMCS 14TX/2FX, versión 4.7 y anteriores;
  • FL SWITCH SMCS 14TX/2FX-SM, versión 4.7 y anteriores;
  • FL SWITCH SMCS 8GT, versión 4.7 y anteriores;
  • FL SWITCH SMCS 6GT/2SFP, versión 4.7 y anteriores;
  • FL SWITCH SMCS 8TX-PN, versión 4.7 y anteriores;
  • FL SWITCH SMCS 4TX-PN, versión 4.7 y anteriores;
  • FL SWITCH SMCS 8TX, versión 4.7 y anteriores;
  • FL SWITCH SMCS 6TX/2SFP, versión 4.7 y anteriores;
  • FL SWITCH SMN 6TX/2POF-PN, versión 4.7 y anteriores;
  • FL SWITCH SMN 8TX-PN, versión 4.7 y anteriores;
  • FL SWITCH SMN 6TX/2FX, versión 4.7 y anteriores;
  • FL SWITCH SMN 6TX/2FX SM, versión 4.7 y anteriores;
  • FL NAT SMN 8TX, versión 4.63 y anteriores;
  • FL NAT SMN 8TX-M, versión 4.63 y anteriores.
Descripción: 

Phoenix Contact ha publicado 10 vulnerabilidades, 8 de severidad alta y 2 media, que podrían permitir a un atacante obtener acceso al área FTP; bloquear las comunicaciones de red; comprometer la disponibilidad, la integridad o la confidencialidad de una estación de trabajo de programación de aplicaciones; instalar código arbitrario en el sistema; la denegación de servicio o la comprobación fallida del certificado.

Solución: 
  • AXL F BK PN TPS XC, actualizar a la última versión disponible;
  • AXL F BK PN TPS, actualizar a la última versión disponible;
  • AXL F BK EIP, actualizar a la última versión disponible;
  • AXL F BK EIP EF, actualizar a la última versión disponible;
  • AXL F BK ETH, actualizar a la última versión disponible;
  • AXL F BK ETH XC, actualizar a la última versión disponible;
  • AXL F BK S3, actualización prevista para finales de 2021;
  • Automationworx Software Suite, actualizar a una versión posterior a la 1.87;
  • AXC F 1152, actualizar a la versión 2021.5 LTS;
  • AXC F 2152, actualizar a la versión 2021.5 LTS;
  • AXC F 3152, actualizar a la versión 2021.5 LTS;
  • RFC 4072S, actualizar a la versión 2021.5 LTS;
  • AXC F 2152 Starterkit, actualizar a la versión 2021.5 LTS;
  • PLCnext Technology Starterkit, actualizar a la versión 2021.5 LTS;
  • SMARTRTU AXC SG, actualización prevista para el tercer trimestre del 2021;
  • SMARTRTU AXC IG, actualización prevista para el tercer trimestre del 2021;
  • ENERGY AXC PU, actualización prevista para el tercer trimestre del 2021;
  • EEM-SB370-C, actualización prevista para el tercer trimestre del 2021;
  • EEM-SB371-C, actualización prevista para el tercer trimestre del 2021;
  • CHARX control modular 3000, actualización prevista para el tercer trimestre del 2021;
  • CHARX control modular 3050, actualización prevista para el tercer trimestre del 2021;
  • CHARX control modular 3100, actualización prevista para el tercer trimestre del 2021;
  • CHARX control modular 3150, actualización prevista para el tercer trimestre del 2021;
  • FL MGUARD DM UNLIMITED, actualizar a la versión 1.13;
  • TC ROUTER 3002T-4G, actualizar a la versión 2.06.5;
  • TC ROUTER 2002T-3G, actualizar a la versión 2.06.5;
  • TC ROUTER 3002T-4G, actualizar a la versión 2.06.5;
  • TC ROUTER 2002T-3G, actualizar a la versión 2.06.5;
  • TC ROUTER 3002T-4G VZW, actualizar a la versión 2.06.5;
  • TC ROUTER 3002T-4G ATT, actualizar a la versión 2.06.5;
  • CLOUD CLIENT 1101T-TX/TX, actualizar a la versión 2.06.5;
  • TC ROUTER 4002T-4G EU, actualización prevista para el segundo trimestre del 2021;
  • TC ROUTER 4102T-4G EU WLAN, actualización prevista para el segundo trimestre del 2021;
  • TC ROUTER 4202T-4G EU WLAN, actualización prevista para el segundo trimestre del 2021;
  • CLOUD CLIENT 2002T-4G EU, actualización prevista para el segundo trimestre del 2021;
  • CLOUD CLIENT 2002T-WLAN, actualización prevista para el segundo trimestre del 2021;
  • CLOUD CLIENT 2102T-4G EU WLAN, actualización prevista para el segundo trimestre del 2021;
  • ILC 2050 BI, actualización prevista para el segundo trimestre del 2021;
  • ILC 2050 BI-L, actualización prevista para el segundo trimestre del 2021;
  • SMARTRTU AXC SG, actualización prevista para el tercer trimestre del 2021;
  • SMARTRTU AXC IG, actualización prevista para el tercer trimestre del 2021;
  • ENERGY AXC PU, actualización prevista para el tercer trimestre del 2021;
  • FL COMSERVER UNI 232/422/485, actualizar a la versión 2.41;
  • FL COMSERVER UNI 232/422/485-T, actualizar a la versión 2.41.
Detalle: 

Las vulnerabilidades de severidad alta son del tipo:

  • credenciales embebidas en el software, se ha asignado el identificador CVE-2021-33540 para esta vulnerabilidad;
  • asignación de recursos sin límitación, se ha asignado el identificador CVE-2021-33541 para esta vulnerabilidad;
  • acceso al puntero no inicializado, se ha asignado el identificador CVE-2021-33542 para esta vulnerabilidad;
  • tiempo de comprobación, tiempo de uso (TOCTOU), condición de carrera, se ha asignado el identificador CVE-2020-25860 para esta vulnerabilidad;
  • validación inadecuada del certificado, se ha asignado el identificador CVE-2021-3450 para esta vulnerabilidad;
  • falta de liberación del recurso después de su tiempo de vida, se ha asignado el identificador CVE-2021-21002 para esta vulnerabilidad;
  • neutralización inadecuada de la entrada durante la generación de la página web (cross-site scripting), se ha asignado el identificador CVE-2021- 20004 para esta vulnerabilidad;
  • ejecución concurrente utilizando un recurso compartido con una sincronización inadecuada (condición de carrera), se ha asignado el identificador CVE-2021- 20005 para esta vulnerabilidad;

Para el resto de vulnerabilidades, de severidad media, se han asignado los identificadores  CVE-2021-3449 y CVE-2021- 20003.

Encuesta valoración