La convalida errata dell'algoritmo di copia e dei componenti nel meccanismo di caricamento del progetto in B&R Automation Studio versione 4.0 e successive può consentire a un utente malintenzionato di eseguire il codice.
Se il PLC non è stato sufficientemente protetto, un utente malintenzionato potrebbe manipolare le informazioni di progetto memorizzate. In alternativa, un utente malintenzionato remoto può utilizzare tecniche di spoofing per consentire a B&R Automation Studio di connettersi a dispositivo dispositivo controllato da un utente malintenzionato con file di progetto manipolati. Quando si utilizza il caricamento del progetto in B&R Automation Studio, tali progetti saranno caricati e aperti nel contesto di sicurezza di Automation Studio. Ciò può comportare l'esecuzione di codice da remoto, la divulgazione di informazioni e il rifiuto del servizio del sistema che esegue B&R Automation Studio.
CVE-2021-22289
Automazione B&R
Studio di automazione
8.3
Team82 si impegna a segnalare privatamente le vulnerabilità ai fornitori interessati in modo coordinato e tempestivo al fine di garantire la sicurezza dell’ecosistema della sicurezza informatica in tutto il mondo. Per interagire con il fornitore e la comunità di ricerca, Team82 ti invita a scaricare e condividere la nostra Politica sulla divulgazione coordinata. Team82 aderisce a questo processo di segnalazione e divulgazione quando scopriamo vulnerabilità in prodotti e servizi.
Team82 ha inoltre reso disponibile la sua chiave PGP pubblica per il fornitore e la comunità di ricerca per scambiare in modo sicuro e protetto le informazioni sulla vulnerabilità e sulla ricerca con noi.
