Los piratas informáticos de seguridad de infraestructura crítica aún no han explotado la falla con calificación CVSS 10, dice PTCRashmi Ramesh (rashmiramesh_) • 3 de julio de 2024 Imagen: Shutterstock El fabricante de software para organizaciones de fabricación críticas PTC parcheó una falla crítica que podría permitir a los piratas informáticos ejecutar comandos arbitrarios en un servidor del sistema, días después de que el organismo de control de seguridad cibernética de EE. UU. publicara un aviso de vulnerabilidad. Ver también: Clínica de seguridad de identidad El proveedor de soluciones de gestión del ciclo de vida del producto dijo que la vulnerabilidad con calificación CVSS 10 afecta al servidor de licencias en su producto Creo Elements/Direct, que es un software CAD de modelado directo que se utiliza para crear diseños en 3D. Los piratas informáticos pueden explotar de forma remota la vulnerabilidad, identificada como CVE-2024-6071, en el servidor de licencias que expone una interfaz web para ejecutar comandos arbitrarios en el servidor subyacente. También pueden moverse lateralmente en sistemas de fabricación crítica, así como en organizaciones industriales globales como Volvo, Lufthansa, Medtronic, HP, Merck y GE, que utilizan el software. Thomas Riedmaier, de Siemens Energy, descubrió la falla, que afecta a las versiones 20.7.0.0 y anteriores. En un aviso sobre sistemas de control industrial publicado a fines de junio, la Agencia de Seguridad de Infraestructura y Ciberseguridad dice que la herramienta se usa ampliamente en la fabricación crítica. El impacto de la explotación varía según dónde se implemente el servidor de licencias y el acceso que proporcione. PTC dijo que «no tiene indicios ni se le ha informado de que esta vulnerabilidad haya sido o esté siendo explotada». Riedmaier le dijo a SecurityWeek que el servidor de licencias afectado generalmente no está expuesto a Internet, por lo que un atacante ya tendría que tener acceso a la red de una organización para explotar la falla. URL original de la publicación: https://www.databreachtoday.com/patched-rce-flaw-that-affects-critical-manufacturing-a-25699