Especialistas en ciberseguridad detectan un hallazgo de una vulnerabilidad crítica en FPWIN Pro, un controlador lógico programable (PLC) creado por la famosa compañía Panasonic. Según el reporte, la explotación de la falla podría permitir a los atacantes acceder a información confidencial en el sistema objetivo.
Identificada como CVE-2021-32972, la falla nació debido a que un archivo de proyecto especialmente hecho que especifica un URI, hace que el analizador XML acceda al URI y encajar el contenido, lo que permitiría a los atacantes acceder a información confidencial en la situación del usuario que ejecuta el software vulnerable.
La vulnerabilidad recibió un puntaje de 5.9/10 en la escala del Common Vulnerability Scoring System (CVSS) y fue reportada por el investigador Michael Heinzl ante la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA).
La falla se encuentra ahora mismo en todas las versiones del PLC FPWIN Pro anteriores a v7.5.1.1.
Panasonic ya está enterado de dicho reporte y alarma a los usuarios de implementaciones afectadas actualizar a FPWIN Pro v7.5.2.0 con tal de moderar el riesgo de explotación. Información complementaria de esta amenaza está disponible en las plataformas oficiales de la compañía.
Por otra parte, CISA también compartió una serie de recomendaciones para abordar la falla reportada:
Nunca hacer clic en enlaces web ni abrir archivos adjuntos no solicitados recibidos vía email
Identificar y evitar campañas de estafa por correo electrónico también conocidas como phishing
Identificar y evitar ataques de ingeniería social y fraude de identidad
CISA recomienda a los usuarios que tomen medidas defensivas para calmar el riesgo de explotación de esta vulnerabilidad, además de tratar de reducir el impacto de un potencial ataque.
Fuente: Noticias de Seguridad Informática