Versiunile software LabVIEW 24.1f0 și anterioare ale National Instruments sunt afectate de vulnerabilități critice, inclusiv citirea în afara limitelor și restricționarea necorespunzătoare a operațiunilor în limitele unui tampon de memorie. Aceste vulnerabilități ar putea permite unui atacator local să dezvăluie informații și să execute cod arbitrar. Exploatarea cu succes necesită interacțiunea utilizatorului, cum ar fi deschiderea unui fișier VI malițios.
Produse
LabVIEW
Versiune: 24.1f0 și anterioare
Vendor: National Instruments
CVEs: CVE-2024-4080, CVE-2024-4081, CVE-2024-4079
Vulnerabilități
Out-of-Bounds Read
CVE: CVE-2024-4079
Scor CVSSv3: 7.8 - Ridicat
Vector CVSSv3: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Scor CVSSv4: 8.4 - Ridicat
Vector CVSSv4: CVSS4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
CWE: CWE-125
Descriere: LabVIEW este vulnerabil la o citire în afara limitelor, care ar putea permite unui atacator local să execute cod arbitrar pe instalațiile afectate de LabVIEW. Interacțiunea utilizatorului este necesară pentru exploatarea vulnerabilităților în sensul că utilizatorul trebuie să deschidă un fișier VI malițios.
Impact: Exploatarea cu succes a acestei vulnerabilități ar putea permite unui atacator local să divulge informații și să execute cod arbitrar.
Mitigare: National Instruments a furnizat o soluție pentru aceste probleme și recomandă utilizatorilor să consulte avizele lor publice.
Restricționarea necorespunzătoare a operațiunilor în limitele unui tampon de memorie
CVE: CVE-2024-4080
Scor CVSSv3: 7.8 - Ridicat
Vector CVSSv3: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Scor CVSSv4: 8.4 - Ridicat
Vector CVSSv4: CVSS4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
CWE: CWE-119
Descriere: Biblioteca tdcore_24_1.dll conține o vulnerabilitate de corupere a memoriei, care ar putea permite unui atacator local să dezvăluie informații sau să execute cod arbitrar pe instalațiile LabVIEW afectate. Interacțiunea utilizatorului este necesară pentru exploatarea vulnerabilității în sensul că utilizatorul trebuie să deschidă un fișier VI rău intenționat.
Impact: Exploatarea cu succes a acestei vulnerabilități ar putea permite unui atacator local să dezvăluie informații și să execute cod arbitrar.
Mitigare: National Instruments a furnizat o soluție pentru aceste probleme și recomandă utilizatorilor să consulte avizele lor publice.
Restricționarea necorespunzătoare a operațiunilor în limitele unui tampon de memorie
CVE: CVE-2024-4081
Scor CVSSv3: 7.8 - Ridicat
Vector CVSSv3: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Scor CVSSv4: 8.4 - Ridicat
Vector CVSSv4: CVSS4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
CWE: CWE-119
Descriere: LabVIEW conține o vulnerabilitate de corupere a memoriei, care ar putea permite unui atacator local să dezvăluie informații sau să execute cod arbitrar pe instalațiile afectate de LabVIEW. Interacțiunea utilizatorului este necesară pentru exploatarea vulnerabilității în sensul că utilizatorul trebuie să deschidă un fișier VI rău intenționat.
Impact: Exploatarea cu succes a acestei vulnerabilități ar putea permite unui atacator local să dezvăluie informații și să execute cod arbitrar.
Mitigare: National Instruments a furnizat o soluție pentru aceste probleme și recomandă utilizatorilor să consulte avizele lor publice.
Concluzie
Descoperirea acestor vulnerabilități în software-ul LabVIEW al National Instruments subliniază importanța menținerii la zi a măsurilor de securitate și a vigilenței cu privire la potențialele amenințări. Utilizatorii sunt insistent sfătuiți să aplice soluțiile furnizate și să urmeze măsurile defensive recomandate pentru a reduce riscurile. Deși nu a fost raportată nicio exploatare publică, impactul potențial asupra sectoarelor de infrastructură critică face imperativ ca organizațiile să acționeze prompt. Orientările CISA privind minimizarea expunerii la rețea, utilizarea unor metode sigure de acces de la distanță și efectuarea unor evaluări aprofundate ale riscurilor ar trebui să fie luate în considerare pentru a se proteja împotriva acestor vulnerabilități.
Referințe
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
