CWE-400 : Consommation de ressources non contrôlée
Les versions 6.0 à 6.14.263 de KEPServerEX de PTC sont vulnérables à la lecture d’un objet défini de manière récursive qui entraîne une consommation de ressources incontrôlée. KEPServerEX utilise OPC UA, un protocole qui définit différents types d’objets pouvant être imbriqués pour créer des matrices complexes. Il ne met pas en œuvre de contrôle pour voir si un tel objet est défini de manière récursive, de sorte qu'une attaque pourrait envoyer un message créé de manière malveillante que le décodeur essaierait de décoder jusqu'à ce que la pile déborde et que le équipement plante.
PTC souhaite informer les utilisateurs que le vecteur d’attaque exploité pendant la recherche impliquait un client OPC UA non authentifié. Les contrôles standard disponibles dans le produit et décrits dans le guide de déploiement sécurisé sont suffisants pour atténuer cette vulnérabilité.
CVE-2023-3825
PTC
KEPServerEX
7.5
Team82 s’engage à signaler en privé les vulnérabilités aux fournisseurs concernés de manière coordonnée et opportune afin d’assurer la sécurité de l’écosystème de cybersécurité dans le monde entier. Pour interagir avec le fournisseur et la communauté de recherche, Team82 vous invite à télécharger et à partager notre Politique de divulgation coordonnée. Team82 respectera ce processus de signalement et de divulgation lorsque nous découvrirons des vulnérabilités dans les produits et services.
Team82 a également mis sa clé PGP publique à la disposition du fournisseur et de la communauté de recherche pour échanger avec nous des informations sur la vulnérabilité et la recherche en toute sécurité.
