Especialistas en ciberseguridad reportan la detección de tres vulnerabilidades en GUIcon Eurotherm, una solución desarrollada por la compañía tecnológica Schneider Electric. Acorde al reporte, la explotación exitosa de las fallas detectadas podría llevar a peligrosos escenarios de riesgo, especialmente considerando que aún no hay parches disponibles.
A continuación se presentan breves descripciones de las fallas detectadas, además de sus respectivas claves de identificación y puntajes asignados por el Common Vulnerability Scoring System (CVSS).
CVE-2021-22807: Un error de límite al cargar un archivo de configuración *.gd1 malicioso en la herramienta vulnerable permitiría a los actores de amenazas desencadenar el ataque para la ejecución de código arbitrario.
Esta es una vulnerabilidad de alta severidad y recibió un puntaje CVSS de 8.1/10, ya que su explotación exitosa permitiría el compromiso total del sistema objetivo.
CVE-2021-22808: Un error use-after-free al cargar archivos maliciosos permitiría la ejecución remota de código en el sistema afectado.
La falla recibió un puntaje CVSS de 8.1/10.
CVE-2021-22809: Una condición de límite al cargar archivos de configuración *.gd1 maliciosos en la herramienta vulnerable permitiría a un hacker remoto acceder al contenido de la memoria en el sistema o bien desplegar ataques de denegación de servicio (DoS).
Esta es una falla de severidad media y recibió un puntaje CVSS de 5/10.
Según el reporte, las fallas residen en las siguientes versiones de GUIcon Eurotherm: 2.0.683.003.
Las vulnerabilidades pueden ser explotadas de forma remota por actores de amenazas no autenticados; la buena noticia es que hasta el momento no se han detectado incidentes de seguridad relacionados con estos reportes. Aún así, se recomienda a los administradores de dispositivos vulnerables limitar la exposición de estas implementaciones, además de permanecer al tanto del lanzamiento de las actualizaciones.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad