A Microsoft revelou duas falhas críticas de segurança no Rockwell Automation PanelView Plus que podem ser exploradas por atacantes remotos não autenticados para executar código arbitrário e desencadear uma condição de negação de serviço (DoS). Segundo o pesquisador de segurança Yuval Gordon, a vulnerabilidade de execução remota de código no PanelView Plus envolve duas classes personalizadas que podem ser abusadas para carregar e executar uma DLL maliciosa no dispositivo.
Já a vulnerabilidade de DoS aproveita a mesma classe personalizada para enviar um buffer manipulado que o dispositivo não consegue lidar adequadamente, levando a uma condição de DoS. A lista de vulnerabilidades descritas inclui a CVE-2023-2071, com uma pontuação CVSS de 9.8, que é uma falha de validação inadequada de entrada. Essa vulnerabilidade permite que atacantes não autenticados executem código remotamente utilizando pacotes maliciosos manipulados.
Além disso, há a CVE-2023-29464, com uma pontuação CVSS de 8.2, que também é uma falha de validação inadequada de entrada. Esta permite que um ator de ameaça não autenticado leia dados da memória através de pacotes maliciosos manipulados e cause uma condição de negação de serviço (DoS) ao enviar um pacote maior do que o tamanho do buffer.
A exploração bem-sucedida dessas duas falhas permite que um adversário execute código remotamente ou provoque a divulgação de informações ou uma condição de DoS. A CVE-2023-2071 afeta o FactoryTalk View Machine Edition (versões 13.0, 12.0 e anteriores), enquanto a CVE-2023-29464 afeta o FactoryTalk Linx (versões 6.30, 6.20 e anteriores).
Os avisos sobre essas falhas foram emitidos pela Rockwell Automation em 12 de setembro de 2023 e 12 de outubro de 2023, respectivamente. A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) também divulgou alertas sobre essas vulnerabilidades em 21 de setembro e 17 de outubro.
Além disso, atores de ameaça desconhecidos estão explorando uma falha crítica recentemente divulgada no HTTP File Server (CVE-2024-23692, pontuação CVSS: 9.8) para distribuir mineradores de criptomoedas e trojans, como Xeno RAT, Gh0st RAT, PlugX e GoThief. Esta vulnerabilidade, descrita como um caso de injeção de template, permite que um atacante remoto não autenticado execute comandos arbitrários no sistema afetado enviando uma solicitação HTTP especialmente criada.