PT-2022-3093 · Omron · Omron Sysmac Cx
Daniel Dos Santos
+1
·
Publicado
2022-06-22
·
Atualizado
2022-08-04
·
CVE-2022-31207
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
PLCs da família de produtos Omron SYSMAC Cx (séries CS, CJ e CP) até 18/05/2022
Descrição
O problema está relacionado à falta de autenticação criptográfica no protocolo Omron FINS (9600/TCP) utilizado para fins de engenharia, incluindo o download de projetos e lógica de controle para o PLC. Isso permite que um invasor manipule o código-objeto transmitido ao PLC e execute comandos de código-objeto arbitrários no ASIC ou no interpretador do microprocessador. A lógica baixada para o PLC existe na forma de código-objeto compilado e é executada após ser passada para um ASIC dedicado ou para o microprocessador para interpretação.
Recomendações
Como solução temporária, considere restringir o acesso ao protocolo FINS para minimizar o risco de exploração.
Evite usar os comandos FINS Program Area Read e Program Area Write até que o problema seja resolvido.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Insufficient Verification of Data Authenticity
Improper Verification of Cryptographic Signature
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Omron Sysmac Cx