Introducción
La investigadora Nataliya Tlyapova de Positive Technologies, ha descubierto cinco vulnerabilidades, dos de ellas críticas.
Análisis
Las vulnerabilidades de severidad crítica reportadas [1]:
CVE-2022-43761: falta de autenticación al crear y gestionar la base de datos APROL, podría permitir leer y hacer cambios en la configuración del sistema.
Un atacante que aproveche con éxito esta vulnerabilidad podría cambiar o leer la configuración o hacer que el nodo afectado deje de funcionar.
CVE-2022-43764: validación insuficiente de los parámetros de entrada al cambiar la configuración en el servidor Tbase en APROL, podría provocar un desbordamiento de búfer que originase una condición de denegación de servicio o la ejecución de código arbitrario.
Si esta vulnerabilidad es aprovechada con éxito podría hacer que el nodo del sistema afectado se detenga o se vuelva inaccesible.
Los modelos afectados son:
-
-
- APROL, versiones anteriores a R 4.2-07.
-
Recomendaciones
El fabricante B&R recomienda una actualización que permite al cliente restringir el acceso al componente afectado utilizando la autenticación de cliente TLS (Mutual TLS), disponible en las versiones APROL R 4.2-07 y superiores con AutoYaST V4.2-070.0.120102 y superiores.
Se recomienda aplicar la actualización lo antes posible.
Referencias
[1] B&R APROL Several Issues in APROL database