Kelemahan validasi input yang memungkinkan penyerang tanpa otentikasi untuk mengeksekusi kode jarak jauh melalui paket berbahaya yang dirancang khusus.
Microsoft baru-baru ini mengungkap dua celah keamanan kritis pada produk Rockwell Automation PanelView Plus yang dapat dimanfaatkan oleh penyerang jarak jauh tanpa otentikasi untuk mengeksekusi kode arbitrer dan memicu kondisi denial-of-service (DoS).
Dilansir dari The Hacker News (5/7), menurut peneliti keamanan Microsoft, Yuval Gordon, celah eksekusi kode jarak jauh ini melibatkan dua kelas khusus yang bisa disalahgunakan untuk mengunggah dan memuat DLL berbahaya ke dalam perangkat. Sementara itu, kerentanan DoS memanfaatkan kelas khusus yang sama untuk mengirim buffer buatan yang tidak dapat ditangani dengan baik oleh perangkat, yang akhirnya menyebabkan kondisi DoS.
Rincian kelemahan:
- CVE-2023-2071 (Skor CVSS: 9.8) – Kelemahan validasi input yang memungkinkan penyerang tanpa otentikasi untuk mengeksekusi kode jarak jauh melalui paket berbahaya yang dirancang khusus.
- CVE-2023-29464 (Skor CVSS: 8.2) – Kelemahan validasi input yang memungkinkan aktor ancaman tanpa otentikasi untuk membaca data dari memori melalui paket berbahaya yang dirancang khusus dan menyebabkan DoS dengan mengirimkan paket yang lebih besar dari ukuran buffer.
Kedua celah ini berdampak signifikan. CVE-2023-2071 mempengaruhi FactoryTalk View Machine Edition (versi 13.0, 12.0, dan sebelumnya), sedangkan CVE-2023-29464 mempengaruhi FactoryTalk Linx (versi 6.30, 6.20, dan sebelumnya). Eksploitasi berhasil memungkinkan penyerang untuk menjalankan kode dari jarak jauh, serta menyebabkan pengungkapan informasi dan kondisi DoS.
Peringatan terkait kelemahan ini telah dirilis oleh Rockwell Automation pada 12 September 2023, dan 12 Oktober 2023. Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) juga merilis peringatannya masing-masing pada 21 September dan 17 Oktober.
Pengungkapan ini muncul di tengah dugaan bahwa aktor ancaman yang tidak dikenal sedang mengeksploitasi kerentanan keamanan kritis yang baru-baru ini diungkap pada HTTP File Server (CVE-2024-23692, Skor CVSS: 9.8) untuk menyebarkan penambang cryptocurrency dan trojan seperti Xeno RAT, Gh0st RAT, dan PlugX.
Kerentanan ini, yang digambarkan sebagai kasus injeksi template, memungkinkan penyerang jarak jauh tanpa otentikasi untuk menjalankan perintah arbitrer pada sistem yang terpengaruh dengan mengirimkan permintaan HTTP yang dirancang khusus.
Pengguna disarankan untuk segera memperbarui sistem mereka guna mencegah potensi serangan yang lebih luas.