El investigador independiente Andrea Micalizzi ha descubierto
dos vulnerabilidades en componentes ActiveX del producto Rockwell Automation
Connected Components Workbench (CCW). Dichas vulnerabilidades se han catalogado
de Importancia: 4 - Alta
Recursos afectados
Los siguientes
productos están afectados:
- Rockwell Automation CCW Version
6.01.00 y anteriores
Detalle e Impacto de las
vulnerabilidades
- Explotando las vulnerabilidades
en los componentes ActiveX, podría escribirse código arbitrario en
direcciones de objetos que no son normalmente accesibles. Las vulnerabilidades
son explotables local y remotamente utilizando técnicas de ingeniería
social para conseguir que el usuario acceda una página web manipulada.
Recomendación
- Actualizar a versión 7.00.00 en
los productos Rockwell afectados.
Más
información
- Rockwell Automation’s Security Advisory Inde https://rockwellautomation.custhelp.com/app/answers/detail/a_id/54102
- ICS-CERT. Rockwell Automation CCW ActiveX
Component Vulnerabilities https://ics-cert.us-cert.gov/advisories/ICSA-14-294-01