Podatność typu Improper Resource Locking w komponencie SDM systemu B&R Automation Runtime umożliwia nieuwierzytelnionemu atakującemu zdalnie usunięcie danych i wywołanie stanu odmowy usługi (DoS). Krytyczna ocena CVSS 9.3 wynika z braku wymagań uwierzytelnienia oraz szerokiego wpływu na integralność i dostępność systemu.
▸ Pokaż oryginał (EN)
An Improper Resource Locking vulnerability in the SDM component of B&R Automation Runtime versions before 6.3 and before Q4.93 may allow an unauthenticated network-based attacker to delete data causing denial of service conditions.
Błąd polega na nieprawidłowym blokowaniu zasobów (CWE-413) w komponencie SDM środowiska B&R Automation Runtime. Atakujący może za pośrednictwem sieci, bez żadnego uwierzytelnienia, wysłać odpowiednio spreparowane żądania, które doprowadzą do usunięcia danych. Brak właściwego mechanizmu blokowania zasobów powoduje, że operacje na danych nie są odpowiednio chronione przed równoczesnym lub nieuprawnionym dostępem z sieci.
Atakujący może usunąć dane systemowe, co skutkuje przerwaniem działania usług i wywołaniem stanu odmowy usługi (DoS). Podatność wpływa również na integralność danych w systemach nadrzędnych i podrzędnych powiązanych ze środowiskiem automatyki.
Należy zaktualizować B&R Automation Runtime do wersji 6.3 lub nowszej albo do wersji Q4.93 lub nowszej. Szczegółowe informacje o dostępnych patchach dostępne są w poradniku bezpieczeństwa producenta: https://www.br-automation.com/fileadmin/SA25P002-f6a69e61.pdf
B&R Automation Runtime w wersjach wcześniejszych niż 6.3 oraz wcześniejszych niż Q4.93
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:H/SC:N/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X