ICS-CERT poinformował o podatności w produktach Omron i Rockwell Automation.
Producent: Omron
Podatności:
- CVE-2019-6556 – podczas przetwarzania plików projektu aplikacja nie sprawdza, czy odwołuje się do zwolnionej pamięci. Atakujący może użyć spreparowanego pliku projektu, aby wykonać kod z uprawnieniami aplikacji.
Podatne produkty:
- CX-Programmer v9.70 i wcześniejsze,
- Common Components January 2019 i wcześniejsze.
Producent: Rockwell Automation
Podatności:
- CVE-2018-15377 – nieuwierzytelniony atakujący może zdalnie wysłać nieprawidłowe dane do agenta Cisco Network Plug and Play, powodując uszkodzenie pamięci w urządzeniu, co może spowodować restart urządzenia.
- CVE-2018-0466 – wysłanie spreparowanego pakietu ścieżki (OSPFv3) może umożliwić nieuwierzytelnionemu atakującemu spowodowanie warunku odmowy usługi oraz restart urządzenia.
- CVE-2018-0472 – wysłanie zniekształconych pakietów IPsec do podatnego urządzenia może umożliwić nieuwierzytelnionemu, zdalnemu atakującemu restart urządzenia. IPsec jest domyślnie wyłączony w urządzeniach Allen-Bradley Stratix 5950.
Podatne produkty:
- Allen-Bradley Stratix 5400: wersje wcześniejsze niż 15.2(6)E2a,
- Allen-Bradley Stratix 5410: wersje wcześniejsze niż 15.2(6)E2a,
- Allen-Bradley Stratix 5700: wersje wcześniejsze niż 15.2(6)E2a,
- Allen-Bradley ArmorStratix 5700: wersje wcześniejsze niż 15.2(6)E2a,
- Allen-Bradley Stratix 8000: wersja 15.2(6)E0a i wcześniejsze,
- Allen-Bradley Stratix 8300: wersje wcześniejsze niż 15.2(4)EA7,
- Allen-Bradley Stratix 5950:
- 1783-SAD4T0SBK9,
- 1783-SAD4T0SPK9,
- 1783-SAD2T2SBK9,
- 1783-SAD2T2SPK9.
Więcej informacji:
https://ics-cert.us-cert.gov/advisories/ICSA-19-094-01
https://ics-cert.us-cert.gov/advisories/ICSA-19-094-02
+48 22242 1996
+48 571 207 996
cert@pse.pl 
klucz publiczny