Multiples vulnerabilidades en Software de programación de PLC, FPWIN PRO de Panasonic

10/06/2019
Dos vulnerabilidades detectadas en FPWIN PRO de Panasonic. La explotación de estas vulnerabilidades podrían permitir a un atacante detener el dispositivo y ejecutar código de forma remota.

Riesgo: Alto Alto
Sistemas afectados:

Software de programación de PLC Control FPWIN PRO de Panasonic

Descripción:

Trend Micro y el investigador Kimiya (de 9sg Security Team) en colaboración con Zero Day initiative, han descubierto dos vulnerabilidades de tipo de desbordamiento de búfer y de acceso a recursos que afectan al sofware de programación Control FPWIN PRO de Panasonic. Este software se utiliza para programar PLC. 


La vulnerabilidad permitiría detener el dispositivo y ejecutar de código de forma remota.
Un usuario autenticado es capaz de cargar archivos de un proyecto creado por el atacante, provocando un desbordamiento de búfer, lo que puede provocar la ejecución remota de código, CVE-2019-6530. A su vez, estos archivos cargados podrían provocar errores de acceso a recursos, debido a que el recurso no tienen las propiedades esperadas, pudiendo dar lugar a la ejecución de código de manera remota, CVE-2019-6532.

Referencias (CVE):
Solución:

Panasonic recomienda actualizar FPWIN PRO a la version 7.3.1 ó posterior

Fuente: Incibe-cert