CVE-2022-31206

PLCs da família de produtos Omron SYSMAC Nx (séries NJ, NY, NX e PMAC) até 18/05/2022

O problema está relacionado à falta de autenticação criptográfica nos PLCs da família de produtos Omron SYSMAC Nx. Isso permite que um invasor manipule o código-objeto transmitido ao PLC e execute código de máquina arbitrário no processador do módulo da CPU do PLC no contexto do tempo de execução. Os PLCs são programados usando o software de engenharia SYMAC Studio, que compila código POU em conformidade com a norma IEC 61131-3 para código de máquina nativo, para execução pelo tempo de execução do PLC. Em alguns casos, é utilizada uma combinação de RTOS e hardware que poderia potencialmente permitir proteção de memória e separação de privilégios, limitando o impacto da execução de código.

Para os PLCs da família de produtos Omron SYSMAC Nx (séries NJ, NY, NX e PMAC) até a versão 2022-005-18, considere implementar medidas de segurança adicionais para autenticar e verificar a integridade do código baixado para o PLC, como autenticação criptográfica, a fim de impedir a manipulação do código-objeto transmitido. Como solução alternativa temporária, restrinja o acesso ao ambiente de execução do PLC para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.