CWE-770: Zuweisung von Ressourcen ohne Begrenzung oder Drosselung
Bei der Durchführung einer Online-Tag-Generierung für Geräte, die über das ControlLogix-Protokoll kommunizieren, könnte eine Maschine in der Mitte oder ein nicht korrekt konfiguriertes Gerät eine Antwort liefern, die zu einer unbeschränkten oder ungeregelten Ressourcenzuweisung führt. Dies könnte zu einem Denial-of-Service-Zustand und zum Absturz der Kepware-Anwendung führen. Diese Funktionen sind standardmäßig ausgeschaltet, bleiben aber für Benutzer, die ihre Vorteile erkennen und benötigen, zugänglich.
PTC empfiehlt Anwendern, ihre Fertigungsnetzwerke umfassend zu schützen und für eine angemessene Zugriffskontrolle zu sorgen. Darüber hinaus wird diese Bedrohung durch genaue Konfiguration und Verwendung des Produkts minimiert, wenn der Kepware Secure Deployment Guide befolgt wird.
CVE-2024-6098
PTC
Kepware ThingWorx Kepware-Server
5.3
Team82 setzt sich dafür ein, Schwachstellen koordiniert und zeitnah an die betroffenen Anbieter zu melden, um die Sicherheit des weltweiten Cybersicherheitsökosystems zu gewährleisten. Um mit der Anbieter- und Forschungsgemeinschaft in Kontakt zu treten, lädt Team82 Sie ein, unsere Richtlinie zur koordinierten Offenlegung herunterzuladen und zu teilen. Team82 hält sich an diesen Melde- und Offenlegungsprozess, wenn wir Schwachstellen in Produkten und Dienstleistungen entdecken.
Team82 hat außerdem seinen öffentlichen PGP-Schlüssel für die Anbieter- und Forschungsgemeinschaft zur Verfügung gestellt, damit diese auf sichere Weise Schwachstellen- und Forschungsinformationen mit uns austauschen kann.
