A Microsoft revelou duas falhas de segurança no Rockwell Automation PanelView Plus que podem ser usadas por invasores remotos e não autenticados para executar código arbitrário e acionar uma condição de negação de serviço (DoS).
“A vulnerabilidade (de execução remota de código) no PanelView Plus envolve duas lessons personalizadas que podem ser usadas para carregar e carregar uma DLL maliciosa no dispositivo”, disse o pesquisador de segurança Yuval Gordon.
“A vulnerabilidade DoS aproveita a mesma classe personalizada para enviar um buffer criado que o dispositivo não consegue manipular corretamente, levando a um DoS.”
A lista de deficiências é a seguinte:
- CVE-2023-2071 (Pontuação CVSS: 9,8) – Uma vulnerabilidade de validação de entrada imprópria que permite que invasores não autenticados obtenham código remoto executado por meio de pacotes maliciosos criados.
- CVE-2023-29464 (pontuação CVSS: 8,2) – Uma vulnerabilidade de validação de entrada imprópria que permite que um agente de ameaça não autenticado leia dados da memória por meio de pacotes maliciosos criados e resulte em um DoS ao enviar um pacote maior que o tamanho do buffer
A exploração bem-sucedida das falhas gêmeas permite que um adversário execute código remotamente ou leve à divulgação de informações ou a uma condição DoS.
Enquanto o CVE-2023-2071 afeta o FactoryTalk View Machine Version (versões 13.0, 12.0 e anteriores), o CVE-2023-29464 afeta o FactoryTalk Linx (versões 6.30, 6.20 e anteriores).
Vale a pena notar que os avisos para as falhas foram lançados pela Rockwell Automation em 12 de setembro de 2023 e 12 de outubro de 2023, respectivamente. A US Cybersecurity and Infrastructure Safety Company (CISA) lançou seus próprios alertas em 21 de setembro e 17 de outubro.
A divulgação ocorre no momento em que se acredita que agentes de ameaças desconhecidos estejam explorando uma falha crítica de segurança recentemente divulgada no HTTP File Server (CVE-2024-23692, pontuação CVSS: 9,8) para entregar mineradores de criptomoedas e trojans como Xeno RAT, Gh0st RAT e PlugX.
A vulnerabilidade, descrita como um caso de injeção de modelo, permite que um invasor remoto e não autenticado execute comandos arbitrários no sistema afetado enviando uma solicitação HTTP especialmente criada.
