A validação inadequada de algoritmo de cópia e componente no mecanismo de upload do projeto no B&R Automation Studio versão 4.0 e posterior pode permitir que um invasor não autenticado execute o código.
Se o PLC não tiver sido suficientemente protegido, um invasor pode manipular as informações armazenadas do projeto. Como alternativa, um invasor remoto pode usar técnicas de falsificação para fazer com que o B&R Automation Studio se conecte a um dispositivo controlado pelo invasor com arquivos de projeto manipulados. Ao usar o upload de projetos no B&R Automation Studio, esses projetos elaborados serão carregados e abertos no contexto de segurança do Automation Studio. Isso pode resultar na execução remota de código, divulgação de informações e recusa de serviço do sistema que executa o B&R Automation Studio.
CVE-2021-22289
Automação de B&R
Estúdio de automação
8.3
A Team82 tem o compromisso de relatar, de forma privada, vulnerabilidades aos fornecedores afetados de maneira coordenada e oportuna, a fim de garantir a segurança do ecossistema de cibersegurança em todo o mundo. Para se envolver com o fornecedor e a comunidade de pesquisa, a Team82 convida você a baixar e compartilhar nossa Política de divulgação coordenada. A Team82 aderirá a esse processo de divulgação e relatório quando descobrirmos vulnerabilidades em produtos e serviços.
A Team82 também disponibilizou sua chave PGP pública para que o fornecedor e a comunidade de pesquisa troquem informações de vulnerabilidade e pesquisa conosco com segurança.
