Inicio / Content / Boletín de INCIBE-CERT del 03-09-2021

Boletín de INCIBE-CERT del 03-09-2021

Asignación de recursos sin límites en múltiples productos de JTEKT

Fecha de publicación: 
03/09/2021
Importancia: 
3 - Media
Recursos afectados: 

Todas las versiones de los siguientes productos TOYOPUC:

  • PC10G-CPU TCC-6353,
  • PC10GE TCC-6464,
  • PC10P TCC-6372,
  • PC10P-DP TCC-6726,
  • PC10P-DP-IO TCC-6752,
  • PC10B-P TCC-6373,
  • PC10B TCC-1021,
  • PC10B-E/C TCU-6521,
  • PC10E TCC-4637,
  • PC10PE TCC-1101,
  • PC10PE-1616P TCC-1102,
  • EF10 TCU-6982,
  • Plus CPU TCC-6740,
  • Plus EX TCU-6741,
  • Plus EX2 TCU-6858,
  • Plus EFR TCU-6743,
  • Plus EFR2 TCU-6859,
  • Plus 2P-EFR TCU-6929,
  • Plus BUS-EX TCU-6900,
  • FL/ET-T-V2H THU-6289,
  • 2PORT-EFR THU-6404,
  • Nano 10GX TUC-1157,
  • Nano CPU TUC-6941,
  • Nano 2ET TUU-6949,
  • Nano Safety TUC-1085,
  • Nano Safety RS00IP TUU-1086,
  • Nano Safety RS01IP TUU-1087
Descripción: 

El investigador Yenting Lee, de Trend Micro, ha reportado al CISA una vulnerabilidad de severidad media que podría permitir a un atacante remoto establecer una condición de denegación de servicio.

Solución: 

JTEKT recomienda:

  • Ubicar los dispositivos remotos y la red de control detrás de firewalls y aislarlos de la red empresarial.
  • Para un acceso remoto, utilizar una VPN.
  • Minimizar la exposición en la red y evitar el acceso desde Internet a los dispositivos y redes de control.
  • Utilizar el bloqueo de puerto LAN para cerrar puertos abiertos.

Para información adicional, ponerse en contacto con el fabricante a través de su web.

Detalle: 

Una vulnerabilidad de asignación de recursos sin límites en los productos afectados podría suponer un mal procesamiento de una inundación ICMP, lo que podría permitir a un atacante remoto causar una condición de denegación de servicio en la comunicación Ethernet entre dispositivos. Se ha asignado el identificador CVE-2021-33011 para esta vulnerabilidad.

Encuesta valoración

Ejecución remota de código en WebAccess de Advantech

Fecha de publicación: 
03/09/2021
Importancia: 
5 - Crítica
Recursos afectados: 

WebAccess, versión 9.02 y anteriores.

Descripción: 

Natnael Samson, en colaboración con Trend Micro ZDI, ha reportado al CISA una vulnerabilidad crítica por la que un atacante podría realizar una ejecución remota de código.

Solución: 

Actualizar a la versión Version 9.1.1.

Detalle: 

Una vulnerabilidad de desbordamiento de búfer basada en la pila, causada por una falta de validación adecuada de la longitud de los datos suministrados por el usuario, podría permitir a un atacante la ejecución remota de código. Se ha asignado el identificador CVE-2021-38408 para esta vulnerabilidad.

Encuesta valoración