Especialistas en ciberseguridad reportan la detección de al menos 4 vulnerabilidades en CX-Position, un software de control de posición desarrollado por la firma tecnológica Omron. Según el reporte, la explotación exitosa de estas fallas permitiría a los actores de amenazas desplegar múltiples escenarios de hacking.
A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de seguridad y puntuaciones asignadas según el Common Vulnerability Scoring System (CVSS). Estas vulnerabilidades fueron divulgadas a través de la Agencia de Ciberseguridad y Seguridad de Infraestructura de E.U. (CISA).
CVE-2022-26419: Múltiples condiciones de desbordamiento de búfer basado en pila al analizar un archivo de proyecto específico en CX-Position permitirían a los actores de amenazas locales ejecutar código arbitrario en el sistema afectado.
Esta vulnerabilidad recibió un puntaje CVSS de 7.8/10.
CVE-2022-25959: Una condición de corrupción de memoria al procesar archivos de proyectos específicos permitiría a los actores de amenazas ejecutar código arbitrario en los sistemas comprometidos.
La falla recibió un puntaje CVSS de 7.8/10 y se le considera un error de severidad media.
CVE-2022-26417: Una condición use-after-free al procesar un archivo de proyecto específico permitiría a los hackers maliciosos ejecutar código arbitrario en los sistemas afectados.
La falla recibió una puntuación CVSS de 7.8/10.
CVE-2022-26022: La escritura fuera de los límites en CX-Position al procesar archivos de proyectos específicos permitiría a los actores de amenazas ejecutar código arbitrario en los sistemas afectados.
Esta es una falla de severidad media y recibió un puntaje CVSS de 7.8/10.
Según el reporte, las fallas residen en todas las versiones de Omron CX-Position anteriores a v2.5.3.
En respuesta a estos reportes, Omron lanzó la versión 2.5.4 del software afectado, que solo está disponible para usuarios de pago que utilizan la función de actualización automática. Se recomienda instalar la más reciente versión de CX-Position lo antes posible para mitigar por completo el riesgo de explotación.
Además de la actualización a la versión corregida, CISA recomienda a las organizaciones potencialmente afectadas realizar un análisis de impacto y una minuciosa evaluación de riesgos de seguridad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad