Mehrere Schwachstellen in Pepperl+Fuchs IO-Link-Master Series

Title

Multiple Vulnerabilities

Product

Pepperl+Fuchs IO-Link-Master Series

Vulnerable Version

System 1.36 / Application 1.5.28

Fixed Version

System 1.52 / Application 1.6.11

CVE Number

CVE-2020-12511, CVE-2020-12512, CVE-2020-12513, CVE-2020-12514

Impact

high

Found

04.23.2020

By

T. Weber (Office Vienna) | SEC Consult Vulnerability Lab

Die Geräteserie IO-Link-Master, entwickelt von Pepperl+Fuchs AG, ist anfällig auf unterschiedliche Schwachstellen. Eine Authenticated Command Injection Schwachstelle ist in der Geräteserie vorhanden. Diese Schwachstelle kann auch mithilfe von Cross-Site Request Forgery Angriffen ausgenutzt werden, da hierzu keine Schutzmechanismen existieren. Der NMS (Network Management System) Dienst kommuniziert via UDP und ist anfällig auf eine Null Pointer Dereference. Alle Schwachstellen wurden durch Emulation des Gerätes mit der MEDUSA scalable firmware runtime verifiziert.

Zum vollständigen Security Advisory (Englisch).

EOF T. Weber / @2021

 

Interesse an einer Zusammenarbeit mit den Experten von SEC Consult? Senden Sie uns Ihre Bewerbung.
Möchten Sie Ihre eigene Cyber-Sicherheit mit den Experten von SEC Consult verbessern? Kontaktieren Sie unsere lokalen Büros.