Los investigadores han revelado detalles de tres nuevas vulnerabilidades de seguridad que afectan a los productos de tecnolog\u00eda operativa (OT) de CODESYS y Festo que podr\u00edan provocar la manipulaci\u00f3n del c\u00f3digo fuente y la denegaci\u00f3n de servicio (DoS).<\/p>\n
Las vulnerabilidades, reportadas por Forescout Vedere Labs, son las \u00faltimas de una larga lista de fallas rastreadas colectivamente bajo el nombre OT:ICEFALL.<\/p>\n
“Estos problemas ejemplifican un enfoque inseguro por dise\u00f1o, que era habitual en el momento en que se lanzaron los productos, donde los fabricantes incluyen funciones peligrosas a las que se puede acceder sin autenticaci\u00f3n o una implementaci\u00f3n deficiente de los controles de seguridad, como la criptograf\u00eda”. investigadores dijo<\/a>.<\/p>\n El m\u00e1s cr\u00edtico de los defectos es CVE-2022-3270<\/a> (puntuaci\u00f3n CVSS: 9,8), una vulnerabilidad cr\u00edtica que afecta a los controladores de automatizaci\u00f3n de Festo que utilizan el protocolo Festo Generic Multicast (FGMC) para reiniciar los dispositivos sin necesidad de autenticaci\u00f3n y provocar una condici\u00f3n de denegaci\u00f3n de servicio (DoS).<\/p>\n Otra deficiencia de DoS en los controladores de Festo (CVE-2022-3079<\/a>puntuaci\u00f3n CVSS: 7,5) se relaciona con un caso de acceso remoto no autenticado a una p\u00e1gina web no documentada (“cec-reboot.php”) que podr\u00eda ser aprovechada por un atacante con acceso de red a Festo CPX-CEC-C1 y CPX-CMXX PLC.<\/p>\n El tercer problema, por otro lado, se refiere al uso de criptograf\u00eda d\u00e9bil en el entorno de tiempo de ejecuci\u00f3n de CODESYS V3 para asegurar el c\u00f3digo de descarga y las aplicaciones de arranque (CVE-2022-4048<\/a>puntaje CVSS: 7.7), que podr\u00eda ser abusado por un mal actor para descifrar y manipular el c\u00f3digo fuente, socavando as\u00ed las protecciones de confidencialidad e integridad.<\/p>\n Forescout dijo que tambi\u00e9n identific\u00f3 dos errores conocidos de CODESYS que afectan a los controladores Festo CPX-CEC-C1 (CVE-2022-31806<\/a> y CVE-2022-22515<\/a>) que se derivan de una configuraci\u00f3n insegura en el entorno de tiempo de ejecuci\u00f3n de Control, y podr\u00eda dar lugar a una denegaci\u00f3n de servicio sin autenticaci\u00f3n.<\/p>\n “Este es otro ejemplo m\u00e1s de un problema de la cadena de suministro en el que no se ha revelado una vulnerabilidad para todos los productos a los que afecta”, dijeron los investigadores.<\/p>\n Para mitigar las amenazas potenciales, se recomienda a las organizaciones que descubran e inventarian los dispositivos vulnerables, apliquen controles de segmentaci\u00f3n de red adecuados y supervisen el tr\u00e1fico de red en busca de actividad an\u00f3mala.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/Los-investigadores-detallan-la-vulnerabilidad-entre-inquilinos-de-AppSync-en.jpg\")
<\/a><\/center><\/div>\n![\"vulnerabilidades](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/11\/1669801699_70_3-nuevas-vulnerabilidades-afectan-a-los-productos-OT-de-las.png\" "\\"vulnerabilidades")
<\/div>\n