CWE-400: consumo incontrollato di risorse
Le versioni da 6.0 a 6.14.263 di KEPServerEX di PTC sono vulnerabili alla lettura di un oggetto definito in modo ricorsivo che porta a un consumo incontrollato di risorse. KEPServerEX utilizza OPC UA, un protocollo che definisce vari tipi di oggetti che possono essere annidati per creare array complessi. Non implementa un controllo per vedere se un tale oggetto è definito ricorsivamente, quindi un attacco potrebbe inviare un messaggio creato malevolmente che il decodificatore proverebbe a decodificare fino a quando lo stack non trabocca e il dispositivo si blocca.
PTC desidera informare gli utenti che il vettore di attacco sfruttato durante la ricerca ha coinvolto un client OPC UA non autenticato. I controlli standard disponibili nel prodotto e descritti nella guida alla distribuzione sicura sono sufficienti per mitigare questa vulnerabilità.
CVE-2023-3825
PTC
KEPServerEX
7.5
Team82 si impegna a segnalare privatamente le vulnerabilità ai fornitori interessati in modo coordinato e tempestivo al fine di garantire la sicurezza dell’ecosistema della sicurezza informatica in tutto il mondo. Per interagire con il fornitore e la comunità di ricerca, Team82 ti invita a scaricare e condividere la nostra Politica sulla divulgazione coordinata. Team82 aderisce a questo processo di segnalazione e divulgazione quando scopriamo vulnerabilità in prodotti e servizi.
Team82 ha inoltre reso disponibile la sua chiave PGP pubblica per il fornitore e la comunità di ricerca per scambiare in modo sicuro e protetto le informazioni sulla vulnerabilità e sulla ricerca con noi.
