PT-2022-10176 · Automationdirect · Automation Direct Click Plc Cpu Modules
Adeen Ayub
+2
·
Publicado
2022-04-04
·
Atualizado
2022-04-13
·
CVE-2021-32984
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Módulos de CPU CLICK PLC da Automation Direct: CPUs C0-1x com versões anteriores à v3.00
Descrição
A vulnerabilidade permite que um invasor se conecte ao PLC e leia o projeto sem autorização enquanto este estiver desbloqueado por um usuário autorizado, resultando em uma escalada de privilégios. Isso ocorre porque todas as conexões de programação recebem os mesmos privilégios de desbloqueio.
Recomendações
Para os módulos de CPU do PLC CLICK da Automation Direct: CPUs C0-1x em versões anteriores à v3.00, atualize o firmware para a versão v3.00 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso ao PLC quando ele estiver desbloqueado por um usuário autorizado para minimizar o risco de exploração.
Correção
Improper Authentication
Authentication Bypass Using an Alternate Path or Channel
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Automation Direct Click Plc Cpu Modules