Introducción
Se han identificado 3 vulnerabilidades, 2 de severidad crítica y 1 alta en VC4 Visualization.
Análisis
B&R VC4 es un paquete de software para generar interfaces hombre-máquina utilizando Automation Studio. Estas interfaces pueden utilizarse para controlar máquinas o mostrar información sobre las operaciones en curso. La visualización de B&R VC4 utiliza la tecnología VNC.
Las vulnerabilidades críticas se detallan a continuación:
CVE-2018-20748: Escritura fuera de límites (CWE-787)
VNC contiene múltiples vulnerabilidades de escritura fuera de límites en libvncclient/rfbproto.c.
CVE-2023-1617: Autenticación incorrecta (CWE-287)
El componente del servidor VNC posee un mecanismo de autenticación inadecuado, que podría permitir a un atacante, no autenticado, y con acceso a la red, eludir el mecanismo de autenticación en los dispositivos afectados.
Un mecanismo de autenticación inadecuado en el componente del servidor VNC utilizado por las versiones afectadas de las visualizaciones VC4 de B&R puede permitir a un atacante no autenticado eludir el mecanismo de autenticación de la visualización VC4 en los dispositivos.
Las versiones afectadas son:
- 3.96.7 y anteriores.
- 4.06.4 y anteriores.
- 4.16.3 y anteriores.
- 4.26.8 y anteriores.
- 4.34.6 y anteriores.
- 4.45.1 y anteriores.
- 4.53.0 y anteriores.
- 4.72.9 y anteriores.
Recomendaciones
Los problemas para cada versión del producto se han corregido en las siguientes:
- <3.9 = producto descatalogado
- 3.9 = 3.96.8
- 4.0 = Por favor, actualice a la siguiente línea de versión fija
- 4.1 = Por favor, actualice a la siguiente línea de versión fija
- 4.2 = Por favor, actualice a la siguiente versión fija
- 4.3 = 4.34.7
- 4.4 = Por favor, actualice a la siguiente versión fija
- 4.5 = Por favor, actualice a la siguiente versión fija
- 4.7 = 4.73.0
Siga el principio de mínima funcionalidad:
- No active el servidor VNC cuando no sea necesario para el funcionamiento del SIGC.
- Limite la funcionalidad de su interfaz hombre-máquina al mínimo imprescindible.
Referencias
[1] Several Issues in B&R VC4 Visualization