Delta Electronics’ CNCSoft-G2, o interfață om-mașină (HMI) software-ul, a fost găsit pentru a avea mai multe vulnerabilități critice care afectează versiunea 2.0.0.5. Vulnerabilitățile includ o depășire a valorii tampon pe bază de stivă, o scriere în afara limitelor, o citire în afara limitelor și o depășire a valorii tampon pe bază de heap. Exploatarea cu succes a acestor vulnerabilități ar putea duce la condiții de buffer overflow și ar permite executarea codului de la distanță, ceea ce prezintă riscuri semnificative pentru sistemele care rulează acest software.
Produse
CNCSoft-G2
Versiune: 2.0.0
Vendor: Delta Electronics
CVEs: CVE-2024-39882, CVE-2024-39883, CVE-2024-39881, CVE-2024-39880
Vulnerabilități
Depășire de buffer pe bază de stivă
CVE: CVE-2024-39880
Scor CVSSv3: 7.8 - Ridicat
Vector CVSSv3: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Scor CVSSv4: 8.4 - Ridicat
Vector CVSSv4: CVSS4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
CWE: CWE-121
Descriere: Delta Electronics CNCSoft-G2 nu validează corect lungimea datelor furnizate de utilizator înainte de a le copia într-un buffer bazat pe stivă cu lungime fixă.
Impact: Dacă o țintă vizitează o pagină malițioasă sau deschide un fișier malițios, un atacator poate profita de această vulnerabilitate pentru a executa cod în contextul procesului curent.
Mitigare: Actualizați la CNCSoft-G2 V2.1.0.10 sau o versiune ulterioară.
Out-of-bounds Write
CVE: CVE-2024-39881
Scor CVSSv3: 7.8 - Ridicat
Vector CVSSv3: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Scor CVSSv4: 8.4 - Ridicat
Vector CVSSv4: CVSS4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
CWE: CWE-787
Descriere: Delta Electronics CNCSoft-G2 nu validează corect datele furnizate de utilizator, ceea ce poate duce la o condiție de corupere a memoriei.
Impact: Dacă o țintă vizitează o pagină malițioasă sau deschide un fișier malițios, un atacator poate profita de această vulnerabilitate pentru a executa cod în contextul procesului curent.
Mitigare: Actualizați la CNCSoft-G2 V2.1.0.10 sau o versiune ulterioară.
Out-of-bounds Read
CVE: CVE-2024-39882
Scor CVSSv3: 7.8 - Ridicat
Vector CVSSv3: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Scor CVSSv4: 8.4 - Ridicat
Vector CVSSv4: CVSS4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
CWE: CWE-125
Descriere: Delta Electronics CNCSoft-G2 nu validează corect datele furnizate de utilizator, ceea ce poate duce la o citire după sfârșitul unui buffer alocat.
Impact: Dacă o țintă vizitează o pagină malițioasă sau deschide un fișier malițios, un atacator poate profita de această vulnerabilitate pentru a executa cod în contextul procesului curent.
Mitigare: Actualizați la CNCSoft-G2 V2.1.0.10 sau o versiune ulterioară.
Heap-based Buffer Overflow
CVE: CVE-2024-39883
Scor CVSSv3: 7.8 - Ridicat
Vector CVSSv3: AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Scor CVSSv4: 8.4 - Ridicat
Vector CVSSv4: CVSS4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
CWE: CWE-122
Descriere: Delta Electronics CNCSoft-G2 nu validează corect lungimea datelor furnizate de utilizator înainte de a le copia într-un buffer bazat pe heap cu lungime fixă.
Impact: Dacă o țintă vizitează o pagină malițioasă sau deschide un fișier malițios, un atacator poate profita de această vulnerabilitate pentru a executa cod în contextul procesului curent.
Mitigare: Actualizați la CNCSoft-G2 V2.1.0.10 sau o versiune ulterioară.
Concluzie
Descoperirea acestor vulnerabilități în software-ul CNCSoft-G2 al Delta Electronics subliniază importanța actualizărilor periodice ale software-ului și a măsurilor robuste de securitate cibernetică. Utilizatorii sunt insistent sfătuiți să actualizeze la CNCSoft-G2 V2.1.0.10 sau ulterior pentru a reduce aceste riscuri. În plus, punerea în aplicare a unor măsuri defensive, cum ar fi minimizarea expunerii la rețea, utilizarea de firewall-uri și utilizarea unor metode sigure de acces de la distanță, cum ar fi VPN-urile, poate proteja în continuare sistemele împotriva exploatării potențiale. Organizațiile ar trebui, de asemenea, să rămână informate cu privire la cele mai bune practici de securitate cibernetică și să raporteze orice activități suspecte către CISA pentru analiză și corelare suplimentară.
Referințe
Pe Threat Spotting apar articole identificate de specialiști în securitate cibernetică și simplificate prin inteligență artificială (AI). De aceea, e bine să consultați sursele oficiale întrucât tehnologiile AI curente pot genera informații incomplete sau parțial adevărate. Citește mai multe despre proiect aici.
