Las vulnerabilidades reportadas se componen de 3 (tres) de severidad “Alta”. Estas son, CVE-2022-25170, CVE-2022-23985 y CVE-2022-21209 que se detallan a continuación:
- CVE-2022-25170 de severidad alta, de puntuación 7.8. Dicha vulnerabilidad se debe a un desbordamiento de búfer basado en la pila (stack) mientras procesa archivos de proyectos, que permitiría a un atacante la ejecución remota de código (RCE).
- CVE-2022-23985 de severidad alta, de puntuación 7.8. Dicha vulnerabilidad se debe a una lectura/escritura fuera de los límites al procesar archivos de proyectos, que permitiría a un atacante crear un archivo de proyecto, provocando la ejecución remota de código (RCE).
- CVE-2022-21209 de severidad alta, de puntuación 7.8. Dicha vulnerabilidad se debe a una lectura/escritura fuera de los límites al procesar archivos de proyectos, que permitiría a un atacante crear un archivo de proyecto, provocando la ejecución remota de código (RCE).
Las versiones afectadas en FATEK son:
- FvDesigner, versión 1.5.100 y anteriores.
Actualmente no existen actualizaciones de seguridad, por lo tanto, recomendamos a los usuarios de estos productos afectados, ponerse en contacto con el servicio de atención al cliente de FATEK mediante el siguiente enlace:
Adicionalmente, CISA recomienda a los usuarios que tomen las siguientes medidas para protegerse de los ataques de ingeniería social:
- No hacer clic en enlaces web ni abrir archivos adjuntos no solicitados en mensajes de correo electrónico.
- Consultar el enlace para reconocer y evitar las estafas por correo electrónico.
- Consultar el enlace para evitar ataques de ingeniería social y phishing.
Referencias:
- https://www.cisa.gov/uscert/ics/advisories/icsa-22-055-01
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25170
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-23985
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-21209
- https://www.incibe-cert.es/alerta-temprana/avisos-sci/multiples-vulnerabilidades-fatek-automation-fvdesigner