Introducció
VDE@CERT ha coordinat la publicació d’un avís de seguretat per a una vulnerabilitat crítica de Endress+Hauser. D’explotar-se, esta vulnerabilitat podria permetre l’execució de comandos en el context d’altres usuaris.
La vulnerabilitat va ser detectada per Julian Renz, de Endress+Hauser.[1]
Anàlisi
La vulnerabilitat crítique trobada és la següent:
- CVE-2024-6596 – Control incorrecte de generació de codi (Injecció de codi) (CWE-94):
Echo Curve Viewer és una utilitat utilitzada per a la visualització offline de dades de corbes envolupants prèviament registrats. En carregar els arxius .cs que utilitza per a la representació d’estes corbes, contenen c#; no obstant això, quan s’ingesta, estos no són autenticats ni validats, per la qual cosa el codi c# d’ells s’executa immediatament. Un atacant remot sense autenticació pot executar codi c# inclòs en estos arxius i executar comandos en el context de l’usuari.
- CVE-2024-6596 – Control incorrecte de generació de codi (Injecció de codi) (CWE-94):
- La sèrie de productes afectats és:
- Echo Curve Viewer, versions 5.2.2.6 o anteriors.
- FieldCare SFE500 Package:
- USB, versions V1.40.00.7448 o anteriors;
- Web-Package, versions V1.40.00.7448 o anteriors.
- Field Xpert SMT50, versions SMT50_Win10_LTSC_21H2_v1.07.00_RC02_03 o anteriors.
- Field Xpert SMT70, versions SMT70_Win10_LTSC_21H2_v1.07.00_RC02_01 o anteriors.
- Field Xpert SMT77, versions SMT77_Win10_SAC_22H2_v1.08.04_RC03_02 o anteriors.
- Field Xpert SMT79, versions V1.08.02-1.8.8684.34292 o anteriors.
Recomanacions
- Echo Curve Viewer: actualitzar a la versió 6.00.00.
- FieldCare SFE500 Package: actualitzar a la versió 1.40.1.
- Per als dispositius Field Xpert Devices, l’actualització s’instal·la automàticament en iniciar el dispositiu, sempre que este tinga connexió a Internet.
Referències