Bulletins

Des vulnérabilités de haute gravité dans le logiciel de programmation des automates Omron

bs1.jpg

Plusieurs vulnérabilités de haute gravité ont été corrigées récemment dans le logiciel CX-Programmer du géant japonais de l'électronique Omron, pouvant être exploitées pour l'exécution de code à distance

CX-Programmer, qui fait partie de la suite logicielle d'automatisation CX-One d'Omron, est conçu pour la programmation et le débogage des contrôleurs logiques programmables (PLC) d'Omron. Selon l'agence américaine de cybersécurité et de sécurité des infrastructures (CISA), ce produit est utilisé dans le monde entier, notamment dans le secteur manufacturier critique.

Les vulnérabilités sont de type "use-after-free" et "out-of-bounds", toutes avec un score CVSS de 7,8. Elles affectent les versions 9.76.1 et antérieures.

Les failles ont été découvertes par le chercheur en sécurité Michael Heinzl, qui a déclaré à que les vulnérabilités étaient dues à l'absence de validation appropriée des données et qu'une exploitation réussie pouvait conduire à la divulgation d'informations ou à l'exécution de code arbitraire. Toutefois, l'exploitation nécessite une interaction avec l'utilisateur, par exemple en incitant l'utilisateur ciblé à ouvrir un fichier CXP spécialement conçu.

Il est conseillé aux utilisateurs de s'assurer que les mises à jour automatiques fonctionnent correctement et de contacter le fournisseur s'ils rencontrent des problèmes avec cette fonction.