Successful exploitation of this vulnerability could allow an attacker to take over the device.
Rockwell Automation informa que los siguientes productos se ven afectados por una vulnerabilidad debido al uso de dispositivos STMicroelectronics STM32L4:
Una vulnerabilidad de ejecución de código local existe en los dispositivos STMicroelectronics STM32L4 debido a tener controles de acceso incorrectos. El producto afectado utiliza el dispositivo STMicroelectronics STM32L4 y, debido a la vulnerabilidad, un actor malintencionado podría revertir las protecciones que controlan el acceso a la interfaz JTAG. Si se aprovecha, un actor malintencionado puede tomar el control del dispositivo.
Se ha asignado CVE-2020-27212 a esta vulnerabilidad. Se ha calculado una puntuación base CVSS v3.1 de 7.0; el vector de cadena CVSS es (CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H).
También se ha calculado una puntuación CVSS v4 para CVE-2020-27212. Se ha calculado una puntuación base de 7.3; el vector de cadena CVSS es (CVSS:4.0/AV:L/AC:H/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N).
Rockwell Automation alienta a los usuarios del software afectado a aplicar las mitigaciones de riesgos si es posible:
Limitar el acceso físico al personal autorizado: sala de control, celdas/áreas, paneles de control y dispositivos. Consulte el Capítulo 4, Fortalezca el Sistema de Control de las Pautas de Diseño de Seguridad del Sistema.
Para obtener información sobre cómo mitigar los riesgos de seguridad en los sistemas de control de automatización industrial, Rockwell Automation alienta a los usuarios a implementar prácticas de seguridad para minimizar el riesgo de la vulnerabilidad.
Para obtener más información, consulte el aviso de seguridad de Rockwell Automation.
Se recomienda a las organizaciones implementar estrategias de ciberseguridad recomendadas para la defensa proactiva de los activos de los SCI.