Especialistas en ciberseguridad reportan el hallazgo de una vulnerabilidad crítica en FPWIN Pro, un controlador lógico programable (PLC) desarrollado por la firma tecnológica Panasonic. Acorde al reporte, la explotación exitosa de la falla permitiría a los actores de amenazas acceder a información confidencial en el sistema objetivo.
Identificada como CVE-2021-32972, la falla existe debido a que un archivo de proyecto especialmente diseñado que especifica un URI hace que el analizador XML acceda al URI e incruste el contenido, lo que permitiría a los atacantes acceder a información confidencial en el contexto del usuario que ejecuta el software vulnerable.
La vulnerabilidad recibió un puntaje de 5.9/10 en la escala del Common Vulnerability Scoring System (CVSS) y fue reportada por el investigador Michael Heinzl ante la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA).
La falla reside en todas las versiones del PLC FPWIN Pro anteriores a v7.5.1.1.
Panasonic ya está al tanto del reporte y recomienda a los usuarios de implementaciones afectadas actualizar a FPWIN Pro v7.5.2.0 con el fin de mitigar el riesgo de explotación. Información complementaria de esta vulnerabilidad está disponible en las plataformas oficiales de la compañía.
Por otra parte, CISA también emitió una serie de recomendaciones para abordar la falla reportada:
- Nunca hacer clic en enlaces web ni abrir archivos adjuntos no solicitados recibidos vía email
- Identificar y evitar campañas de estafa por correo electrónico también conocidas como phishing
- Identificar y evitar ataques de ingeniería social y fraude de identidad
CISA recomienda a los usuarios que tomen medidas defensivas para minimizar el riesgo de explotación de esta vulnerabilidad, además de tratar de reducir el impacto de una potencial explotación.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad