ICS-CERT informuje o podatnościach w Rockwell Automation i Johnson Controls

utworzone przez | mar 11, 2020 | ICS

ProduktCorporate Edition: wersje wcześniejsze niż v8.10
Global Edition: wersje wcześniejsze niż v8.10
Numer CVECVE-2019-7589
Krytyczność9.8 / 10
Wektor CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisProblem z interfejsem API może pozwolić atakującemu przesłanie i wykonanie złośliwego kodu z uprawnieniami na poziomie systemu.
Linkhttps://www.us-cert.gov/ics/advisories/icsa-20-070-04
ProduktApplication and Data Server (ADS, ADS-Lite): wersja 10.1 i wcześniejsze
Extended Application and Data Server (ADX): wersja 10.1 i wcześniejsze
Open Data Server (ODS): wersja 10.1 i wcześniejsze
Open Application Server (OAS): wersja 10.1
Network Automation Engine (NAE55): wersja 9.0.1, 9.0.2, 9.0.3, 9.0.5, 9.0.6
Network Integration Engine (NIE55/NIE58): wersja 9.0.1, 9.0.2, 9.0.3, 9.0.5, 9.0.6
NAE85 i NIE85: wersja 10.1 i wcześniejsze
LonWorks Control Server (LCS): wersja 10.1 i wcześniejsze
System Configuration Tool (SCT): wersja 13.2 i wcześniejsze
Smoke Control Network Automation Engine: wersja 8.1
Numer CVECVE-2020-9044
Krytyczność7.5 / 10
Wektor CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
OpisPodatność typu XXE (XML External Entity) może pozwolić atakującemu na pobranie plików ASCII z serwera.
Linkhttps://www.us-cert.gov/ics/advisories/icsa-20-070-05
ProduktMicroLogix 1400 ControllersSeries B v21.001 i wcześniejsze
Series A, wszystkie wersje
MicroLogix 1100 Controller, wszystkie wersje
RSLogix 500 Software v12.001 i wcześniejsze
Numer CVECVE-2020-6990
Krytyczność9.8 / 10
Wektor CVSSAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
OpisKlucz kryptograficzny chroniący hasła do konta jest zakodowany na stałe w pliku binarnym RSLogix 500.
Numer CVE CVE-2020-6984
Krytyczność 9.8 / 10
Wektor CVSS AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Opis Funkcja kryptograficzna używana do ochrony hasła w MicroLogix jest wykrywalna.
Numer CVE CVE-2020-6988
Krytyczność 7.5 / 10
Wektor CVSS AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Opis Zdalny, nieuwierzytelniony atakujący może uzyskać hasło do kontrolera MicroLogix przesyłając do niego żądania za pomocą oprogramowania RSLogix 500.
Linkhttps://www.us-cert.gov/ics/advisories/icsa-20-070-06