CVE-2022-31204

PLCs das séries CS, CJ e CP da Omron até 18/05/2022

O problema diz respeito à transmissão de informações confidenciais em texto simples, especificamente senhas utilizadas para a configuração de Proteção UM. Essa configuração permite que usuários ou integradores de sistemas definam uma senha para restringir operações de engenharia sensíveis, como uploads e downloads de projetos/lógicas. As senhas são definidas usando o comando OMRON FINS Program Area Protect e desativadas usando o comando Program Area Protect Clear, ambos transmitidos em texto simples. Isso poderia permitir que um invasor remoto obtivesse acesso não autorizado a informações protegidas.

Para os PLCs das séries CS, CJ e CP da Omron até 18/05/2022, considere desativar a configuração de Proteção UM até que um método seguro de transmissão de senha seja implementado. Restrinja o acesso aos comandos Program Area Protect e Program Area Protect Clear para minimizar o risco de exploração. Evite usar senhas em texto simples para operações de engenharia confidenciais até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.