Especialistas en ciberseguridad reportan la detección de múltiples vulnerabilidades en IGSS Data Server, una de las más importantes soluciones de la firma Schneider Electric. Según el reporte, la explotación exitosa de estas vulnerabilidades permitiría a los actores de amenazas poner en riesgo crítico los sistemas afectados.
A continuación se presentan breves descripciones de las fallas detectadas, además de sus respectivas claves de identificación y puntajes asignados según el Common Vulnerability Scoring System (CVSS).
CVE-2022-24313: Un error de límite dentro del proceso IGSSDataServer permitiría a los actores de amenazas remotos no autenticados desencadenar un desbordamiento de búfer basado en pila y ejecutar código arbitrario en los sistemas vulnerables.
Esta es una vulnerabilidad de alta severidad y recibió un puntaje CVSS de 8.5/10.
CVE-2022-24314: Una condición límite dentro de IGSSdataServer.exe permitiría a los actores de amenazas remotos enviar un mensaje especialmente diseñado, desencadenar un error de lectura fuera de límites y causar una condición de denegación de servicio (DoS).
La vulnerabilidad recibió un puntaje CVSS de 6.7/10.
CVE-2022-24310: Un desbordamiento de enteros dentro de IGSSdataServer.exe permitiría a los hackers remotos enviar mensajes especialmente diseñados para desencadenar la ejecución de código arbitrario en el sistema afectado.
Esta es una vulnerabilidad de alta severidad y recibió un puntaje CVSS de 8.8/10.
CVE-2022-24317: La ausencia de autorización dentro del proceso IGSSDataServer permtiría a los actores de amenazas remotos enviar un mensaje especialmente diseñado al sistema afectado y exponer la información almacenada.
Este es un error de severidad media y recibió un puntaje CVSS de 4.6/10.
CVE-2022-24315: Un error de límite dentro del proceso IGSSDataServer habría permitido a los atacantes remotos enviar un mensaje especialmente diseñado para desencadenar un error de lectura fuera de límites y llevar a una condición DoS.
Esta es una falla de severidad media y recibió un puntaje CVSS de 6.5/10.
CVE-2022-24311: Un error de validación de entrada al procesar secuencias transversales de directorio dentro del proceso IGSSDataServer permitiría a los atacantes remotos provocar la modificación de un archivo existente al insertarlo al principio del archivo o crear un nuevo archivo en el contexto del servidor de datos.
La vulnerabilidad recibió un puntaje CVSS de 6.5/10.
CVE-2022-24312: Un error de validación de entrada al procesar secuencias transversales de directorio dentro del proceso IGSSDataServer permitiría a los actores de amenazas causar la modificación de un archivo existente agregando al final del archivo o creando un nuevo archivo en el contexto de Data Server.
La falla recibió un puntaje CVSS de 6.5/10.
CVE-2022-24316: La inicialización incorrecta dentro del proceso IGSSDataServer permitiría a los atacantes remotos enviar un mensaje especialmente diseñado y exponer la información almacenada.
La falla recibió un puntaje CVSS de 4.6/10.
Según el reporte, las fallas residen en Schneider Electric IGSS Data Server v15.0.0.22020.
A pesar de que las fallas pueden ser explotadas de forma remota por hackers sin autenticación, los especialistas no han detectado intentos de explotación activa. Aún así, los especialistas recomiendan a los usuarios de implementaciones afectadas corregir a la brevedad.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).