Inicio / Alerta Temprana / Avisos Sci / Vulnerabilidad de omisión de autenticación en productos Lenze

Vulnerabilidad de omisión de autenticación en productos Lenze

Fecha de publicación: 
12/07/2022
Identificador: 
INCIBE-2022-0829
Importancia: 
5 - Crítica
Recursos afectados: 

Versiones desde 01.07.00.2757 hasta la anterior a 01.08.01.3021 de los productos:

  • cabinet c520,
  • cabinet c550,
  • cabinet c750.
Descripción: 

CERT@VDE, coordinado con LENZE, ha publicado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante remoto establecer una comunicación sin haber realizado una correcta autenticación previamente, provocando un uso no autorizado de la interfaz OPC-UA.

Solución: 

Instalar la versión 01.08.01.3021 para corregir esta vulnerabilidad.

Detalle: 

El controlador de máquinas de los productos afectados incluye un servidor OPC-UA que utiliza una gestión de usuarios para autenticar a los clientes mediante autenticación anónima o de usuario/contraseña. Si se selecciona el segundo método, la verificación de la contraseña se omite en el segundo inicio de sesión. Como resultado, los usuarios podrían establecer comunicación sin una autenticación correcta. Esta vulnerabilidad no se encuentra en el protocolo OPC-UA o en el servidor, sino en la interfaz con el firmware de los productos. Se ha asignado el identificador CVE-2022-2302 para esta vulnerabilidad.

Encuesta valoración