El investigador Yuval Gordon, CPS Research, Microsoft Threat Intelligence Community y el propio fabricante Rockwell Automation han reportado 7 vulnerabilidades: 3 de severidad crítica y 4 altas, cuya explotación podría permitir la ejecución de código remoto, corrupción de memoria mediante un HTML malicioso y omisión de medidas de seguridad.
Análisis
Las vulnerabilidades de severidad crítica se describen a continuación:
- CVE-2023-2262 : Esta vulnerabilidad de desbordamiento de búfer existe en todas las series de los dispositivos de comunicación 1756 EN2T, y podría permitir la realización de una ejecución remota de código mediante el envío de una solicitud CIP maliciosa al dispositivo[1].
- CVE-2020-16017 : Connected Components Workbench utiliza la versión 81.3.100 de CefSharp, que contiene una vulnerabilidad de uso de memoria después de ser liberada en las versiones de Google Chrome anteriores a 86.0.4240.198. Un atacante remoto podría salir de la zona de pruebas (sandbox escape) a través de una página HTML maliciosa[2].
- CVE-2023-2071: FactoryTalk View Machine Edition en el PanelView Plus verifica incorrectamente la entrada del usuario, lo que podría permitir a un atacante no autenticado ejecutar código remoto mediante paquetes maliciosos[3].
Recomendaciones
- Actualizar los módulos de comunicación Logix 1756 EN2Txxx a las versiones correctoras. El listado completo puede consultarse en las referencias.
- Actualizar Connected Components Workbench a versiones R21 y posteriores.
- Aplicar el parche para las versiones 12.0 y 13.0 del FactoryTalk View Machine Edition.
Referencias
[1] Rockwell Automation Select Logix Communication Modules[2] Rockwell Automation Connected Components Workbench
[3] Rockwell Automation FactoryTalk View Machine Edition