CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

10/06/2019

Multiples vulnerabilidades en Software de programación de PLC, FPWIN PRO de Panasonic

Dos vulnerabilidades detectadas en FPWIN PRO de Panasonic. La explotación de estas vulnerabilidades podrían permitir a un atacante detener el dispositivo y ejecutar código de forma remota.

Riesgo: Alto

Trend Micro y el investigador Kimiya (de 9sg Security Team) en colaboración con Zero Day initiative, han descubierto dos vulnerabilidades de tipo de desbordamiento de búfer y de acceso a recursos que afectan al sofware de programación Control FPWIN PRO de Panasonic. Este software se utiliza para programar PLC. 


La vulnerabilidad permitiría detener el dispositivo y ejecutar de código de forma remota.
Un usuario autenticado es capaz de cargar archivos de un proyecto creado por el atacante, provocando un desbordamiento de búfer, lo que puede provocar la ejecución remota de código, CVE-2019-6530. A su vez, estos archivos cargados podrían provocar errores de acceso a recursos, debido a que el recurso no tienen las propiedades esperadas, pudiendo dar lugar a la ejecución de código de manera remota, CVE-2019-6532.

Sistemas Afectados:

Software de programación de PLC Control FPWIN PRO de Panasonic

Referencias:

CVE-2019-6530 CVE-2019-6532

Solución:

Panasonic recomienda actualizar FPWIN PRO a la version 7.3.1 ó posterior

Notas: None
Fuente: Incibe-cert

CSIRT-CV