- Soluções
- Segurança Cibernética
Segurança Cibernética:
Seu negócio protegido contra ataques
Com os avanços nas tecnologias de comunicação, máquinas e sistemas estão se tornando cada vez mais interconectados por meio da internet. Nesse contexto, a proteção contra ataques cibernéticos torna-se essencial para assegurar a segurança, a integridade dos dados e a continuidade das operações industriais.
Solicite uma assessoria
Quer implementar seu projeto em curso conosco? Teremos todo o gosto em assessorar você!
Prevenção, identificação e resolução de vulnerabilidades
Os recursos de segurança embarcados nos produtos Altus são constantemente revisados e atualizadas para evitar possíveis vulnerabilidades. Porém, para os casos em que a vulnerabilidade é identificada por agentes externos, nos comprometemos a resolver esses problemas dentro de um prazo razoável.
No Manual de Segurança Cibernética oferecemos informações importantes sobre segurança com os produtos Altus.
Lista com os comunicados de segurança publicados pela Altus
Esses comunicados fornecem informações essenciais sobre vulnerabilidades conhecidas, incluindo possíveis soluções alternativas e atualizações de segurança disponíveis. Cabe à avaliação técnica dos usuários de nossos produtos determinar se e quando implementar as atualizações recomendadas.
Se detectar uma possível vulnerabilidade que tenha efeito direto ou indireto em um produto Altus, nos informe através do e-mail ouvidoria@altus.com.br.
Nos ajude a manter os produtos Altus o mais seguros possível
CVE-2022-30792
Versão de firmware com a vulnerabilidade corrigida: HX: 1.14.36.5, XP: 1.14.20.0, NX300x: 1.14.20.0, NL: 1.14.31.4, NX30x0: 1.14.7.0.
Descrição CVE: Em CmpChannelServer do CODESYS V3, em várias versões, um consumo de recursos descontrolado permite que um invasor não autorizado bloqueie novas conexões de canal de comunicação. As conexões existentes não são afetadas.
CVE-2022-30791
Versão de firmware com a vulnerabilidade corrigida: HX: 1.14.36.5, XP: 1.14.20.0, NX300x: 1.14.20.0, NL: 1.14.31.4, NX30x0: 1.14.7.0.
Descrição CVE: Em CmpBlkDrvTcp do CODESYS V3, em várias versões, um consumo de recursos descontrolado permite que um invasor não autorizado bloqueie novas conexões TCP. As conexões existentes não são afetadas.
CVE-2022-22515
Versão de firmware com a vulnerabilidade corrigida: HX: 1.12.32.4, XP (exceto 351 e 350): 1.12.5.3, 300x (exceto 3008): 1.12.5.3, 30×0: até 1.10.8.0.
Descrição CVE: Um invasor remoto e autenticado poderia utilizar o programa de controle do sistema de tempo de execução CODESYS Control para explorar a vulnerabilidade a fim de ler e modificar o(s) arquivo(s) de configuração dos produtos afetados.
CVE-2022-22508
Versão de firmware com a vulnerabilidade corrigida: HX: 1.14.36.5, XP: 1.14.20.0, NX300x: 1.14.20.0, NL: 1.14.31.4 NX30x0: 1.14.7.0.
Descrição CVE: Uma vulnerabilidade de Validação de Entrada Inadequada em múltiplos produtos CODESYS V3 permite que um invasor remoto e autenticado bloqueie logins consecutivos de um tipo específico.
CVE-2019-9012
Versão de firmware com a vulnerabilidade corrigida: HX: 1.9.4.0, XP: 1.8.5.0, NX3003: 1.8.11.0, NX3004 e 5: até 1.8.11.0, NX30x0: até 1.8.3.0
Descrição CVE: Foi descoberto um problema nos produtos CODESYS V3 da 3S-Smart. Uma solicitação de comunicação especialmente elaborada pode causar alocações de memória descontroladas nos produtos CODESYS afetados e resultar em uma condição de negação de serviço. Todas as variantes dos seguintes produtos CODESYS V3 em todas as versões anteriores à v3.5.14.20 que contêm o componente CmpGateway são afetadas.
CVE-2019-9010
Versão de firmware com a vulnerabilidade corrigida: HX: 1.9.4.0, XP: 1.8.5.0, NX3003: 1.8.11.0, NX3004 e 5: até 1.8.11.0, NX30x0: até 1.8.3.0
Descrição CVE: Foi descoberto um problema nos produtos CODESYS V3 da 3S-Smart. O Gateway CODESYS não verifica corretamente a propriedade de um canal de comunicação. Todas as variantes dos seguintes produtos CODESYS V3 em todas as versões anteriores à v3.5.14.20 que contêm o componente CmpGateway são afetadas.
CVE-2018-25048
Versão de firmware com a vulnerabilidade corrigida: HX: 1.7.40.0, NX3004 e 5: até 1.7.17.0, NX30x0: até 1.7.0.8
Descrição CVE: O sistema de tempo de execução CODESYS em várias versões permite que um invasor remoto com privilégios baixos use uma vulnerabilidade de path traversal para acessar e modificar todos os arquivos do sistema, bem como causar um ataque de negação de serviço (DoS) no dispositivo.
CVE-2019-13542
Versão de firmware com a vulnerabilidade corrigida: XTORM: 1.7.58.0 e 1.7.40.0, XP (exceto 350, 351 e 340): 1.7.49.0, NX3003: 1.8.11.0, NX30x0: 1.8.3.0
Descrição CVE: No Sistema de Desenvolvimento CODESYS, múltiplos componentes em várias versões transmitem as senhas para a comunicação entre clientes e servidores de forma desprotegida.
CVE-2022-4048
Versão de software com a vulnerabilidade corrigida: MTOOL 8500 3.60
Descrição CVE: A fraqueza de segurança “Inadequate Encryption Strength” (Força de Criptografia Inadequada) no Sistema de Desenvolvimento CODESYS V3 em versões anteriores à V3.5.18.40 permite que um invasor local não autenticado acesse e manipule o código de aplicativos de inicialização criptografados.
CVE-2022-31805
Versão de software com a vulnerabilidade corrigida: MTOOL 8500 3.60
Descrição CVE: No Sistema de Desenvolvimento CODESYS, vários componentes em diversas versões transmitem as senhas para a comunicação entre clientes e servidores sem proteção.
CVE-2022-30792
Versão de software com a vulnerabilidade corrigida: MTOOL 8500 3.60
Descrição CVE: Em CmpChannelServer do CODESYS V3, em várias versões, um consumo de recursos descontrolado permite que um invasor não autorizado bloqueie novas conexões de canal de comunicação. As conexões existentes não são afetadas.
CVE-2022-30791
Versão de software com a vulnerabilidade corrigida: MTOOL 8500 3.60
Descrição CVE: Em CmpBlkDrvTcp do CODESYS V3, em várias versões, um consumo de recursos descontrolado permite que um invasor não autorizado bloqueie novas conexões TCP. As conexões existentes não são afetadas.
CVE-2022-22515
Versão de software com a vulnerabilidade corrigida: MTOOL 8500 3.40
Descrição CVE: Um invasor remoto e autenticado poderia utilizar o programa de controle do sistema de tempo de execução CODESYS Control para usar a vulnerabilidade e ler e modificar o(s) arquivo(s) de configuração dos produtos afetados.
CVE-2021-29240
Versão de software com a vulnerabilidade corrigida: MTOOL 8500 3.40
Descrição CVE: O Gerenciador de Pacotes do CODESYS Development System 3 em versões anteriores à 3.5.17.0 não verifica a validade dos pacotes antes da instalação, podendo ser usado para instalar pacotes CODESYS com conteúdo malicioso.
CVE-2021-29239
Versão de software com a vulnerabilidade corrigida: MTOOL 8500 3.40
Descrição CVE: O CODESYS Development System 3, em versões anteriores à 3.5.17.0, exibe ou executa documentos ou arquivos maliciosos incorporados em bibliotecas sem verificar sua validade previamente.
CVE-2020-12068
Versão de software com a vulnerabilidade corrigida: MTOOL 8500 3.40
Descrição CVE: Foi descoberto um problema no CODESYS Development System em versões anteriores à 3.5.16.0. O CODESYS WebVisu e o CODESYS Remote TargetVisu são suscetíveis a escalonamento de privilégios.
CVE-2019-9012
Versão de software com a vulnerabilidade corrigida: MTOOL 8500 3.30
Descrição CVE: Foi descoberto um problema nos produtos CODESYS V3 da 3S-Smart. Uma solicitação de comunicação especialmente elaborada pode causar alocações de memória descontroladas nos produtos CODESYS afetados, podendo resultar em uma condição de negação de serviço. Todas as variantes dos seguintes produtos CODESYS V3 em todas as versões anteriores à v3.5.14.20 que contêm o componente CmpGateway são afetadas, independentemente do tipo de CPU ou sistema operacional.
CVE-2019-9010
Versão de software com a vulnerabilidade corrigida: MTOOL 8500 3.30
Descrição CVE: Foi descoberto um problema nos produtos CODESYS V3 da 3S-Smart. O CODESYS Gateway não verifica corretamente a propriedade de um canal de comunicação. Todas as variantes dos seguintes produtos CODESYS V3 em todas as versões anteriores à v3.5.14.20 que contêm o componente CmpGateway são afetadas.
CVE-2021-36764
Versão de software com a vulnerabilidade corrigida: MTOOL 8500 3.40
Descrição CVE: No CODESYS Gateway V3 em versões anteriores à 3.5.17.10, há uma Desreferência de Ponteiro Nulo (NULL Pointer Dereference). Solicitações de comunicação especialmente elaboradas podem causar uma desreferência de ponteiro nulo nos produtos CODESYS afetados, podendo resultar em uma condição de negação de serviço.
CVE-2021-29241
Versão de software com a vulnerabilidade corrigida: MTOOL 8500 3.40
Descrição CVE: No CODESYS Gateway 3 em versões anteriores à 3.5.16.70, há uma desreferência de ponteiro nulo (NULL pointer dereference) que pode resultar em uma negação de serviço (DoS).
CVE-2020-7052
Versão de software com a vulnerabilidade corrigida: MTOOL 8500 3.30
Descrição CVE: O CODESYS Control V3, Gateway V3 e HMI V3, em versões anteriores à 3.5.15.30, permitem uma alocação de memória descontrolada que pode resultar em uma condição de negação de serviço remota.
CVE-2019-5105
Versão de software com a vulnerabilidade corrigida: MTOOL 8500 3.40
Descrição CVE: Uma vulnerabilidade de corrupção de memória explorável existe na funcionalidade do Name Service Client do 3S-Smart Software Solutions CODESYS GatewayService. Um pacote especialmente elaborado pode causar um memcpy de grande escala, resultando em uma violação de acesso e no encerramento do processo. Um invasor pode enviar um pacote para um dispositivo executando o GatewayService.exe para acionar essa vulnerabilidade. Todas as variantes dos produtos CODESYS V3 em todas as versões anteriores à V3.5.16.10 que contêm o componente CmpRouter ou CmpRouterEmbedded são afetadas.
CVE-2022-1989
Versão de software com a vulnerabilidade corrigida: MTOOL 8500 3.60
Descrição CVE: Todas as versões do CODESYS Visualization anteriores à V4.2.0.0 geram um diálogo de login vulnerável à exposição de informações, permitindo que um invasor remoto e não autenticado enumere usuários válidos.
CVE-2020-12068
Versão de software com a vulnerabilidade corrigida: MTOOL 8500 3.40
Descrição CVE: Foi descoberto um problema no CODESYS Development System em versões anteriores à 3.5.16.0. O CODESYS WebVisu e o CODESYS Remote TargetVisu são suscetíveis a escalonamento de privilégios.
CVE-2018-25048
Versão de software com a vulnerabilidade corrigida: MTOOL 8500 3.30
Descrição CVE: O sistema de tempo de execução CODESYS em várias versões permite que um invasor remoto com privilégios baixos use uma vulnerabilidade de path traversal para acessar e modificar todos os arquivos do sistema, além de causar uma negação de serviço (DoS) no dispositivo.
