Introducción
Floris Hendriks y Jeroen Wijenbergh, de la Universidad Radboud, han reportado a Contec una vulnerabilidad de inyección de comandos sobre el sistema operativo (OS Command Injection), que afecta al dispositivo CONPROSYS HMI System.[1]
Análisis
El dispositivo de Contec CONPROSYS HMI System en las versiones 3.4.4 y anteriores son vulnerables a una inyección de comandos sobre el sistema operativo.
CVE-2022-44456: Un atacante remoto, no autenticado, podría explotar esta vulnerabilidad con el objetivo de enviar peticiones especialmente diseñadas, que podrían ejecutar comandos en el servidor. Se ha asignado una puntuación base CVSS v3 de 10.0
Recomendaciones
Contec recomienda actualizar el software del dispositivo afectado a la versión 3.4.5 o posteriores (ver más información en el apartado de referencias)[2]
Referencias
[1] ICS Advisory (ICSA-22-347-03)[2] CONTEC Software Updates