Introducció
Floris Hendriks i Jeroen Wijenbergh, de la Universitat Radboud, han reportat a Contec una vulnerabilitat d’injecció d’ordres sobre el sistema operatiu (OS Command Injection), que afecta el dispositiu CONPROSYS HMI System.[1]
Anàlisi
El dispositiu de Contec CONPROSYS HMI System a les versions 3.4.4 i anteriors són vulnerables a una injecció d’ordres sobre el sistema operatiu.
CVE-2022-44456: Un atacant remot, no autenticat, podria explotar aquesta vulnerabilitat amb l’objectiu d’enviar peticions especialment dissenyades, que podrien executar ordres al servidor. S’ha assignat una puntuació base CVSS v3 de 10.0
Recomanacions
Contec recomana actualitzar el software del dispositiu afectat a la versió 3.4.5 o posteriors (veure més informació a l’apartat de referències)[2]
Referències
[1] ICS Advisory (ICSA-22-347-03)[2] CONTEC Software Updates