Platform
other
Component
softing-smartlink-hw-dp-hw-pn-webserver
Opgelost in
1.31.1
1.02
CVE-2024-14028 is een Use-after-free kwetsbaarheid in de Softing smartLink HW-DP/HW-PN webserver, die kan leiden tot een Denial of Service (DoS) aanval. De impact is een verstoring van de dienstverlening. De kwetsbaarheid beïnvloedt versies ≤1.32. De kwetsbaarheid is opgelost in versie 1.02.
CVE-2024-14028 treft de smartLink HW-DP en smartLink HW-PN apparaten van Softing, met name hun webbrowser. Het is een 'use-after-free' kwetsbaarheid die kan worden misbruikt om een HTTP Denial-of-Service (DoS) aanval uit te voeren. Dit betekent dat een aanvaller de webbrowser kan overbelasten, waardoor deze ontoegankelijk wordt voor legitieme gebruikers. Aangetaste versies van smartLink HW-DP zijn tot en met 1.31, terwijl smartLink HW-PN kwetsbaar is in versies vóór 1.02. De ernst van de kwetsbaarheid, volgens CVSS, is 6.5, wat een matig risico aangeeft. Het ontbreken van een KEV (Kernel Exploitability Vector) suggereert dat exploitatie mogelijk specifieke voorwaarden vereist of complexer kan zijn.
De kwetsbaarheid bevindt zich in de geïntegreerde webbrowser van de smartLink HW-DP en HW-PN apparaten. Een aanvaller kan deze uitbuiten door speciaal ontworpen HTTP-verzoeken te verzenden die de 'use-after-free' conditie triggeren. Dit kan leiden tot een crash van de webbrowser, waardoor deze niet meer in staat is om legitieme verzoeken te beantwoorden. Exploitatie vereist waarschijnlijk een diepgaand begrip van de interne werking van de webbrowser en het vermogen om aangepaste HTTP-verzoeken te verzenden. Hoewel er geen publieke exploit is uitgebracht, maakt de aard van de kwetsbaarheid deze tot een potentieel doelwit voor geschoolde aanvallers.
Organizations utilizing Softing smartLink HW-DP or HW-PN devices in industrial control systems, data acquisition networks, or any environment where the webserver is exposed to external or untrusted networks are at risk. Legacy deployments running older firmware versions are particularly vulnerable.
disclosure
Exploit Status
EPSS
0.04% (11% percentiel)
CISA SSVC
CVSS-vector
De oplossing om deze kwetsbaarheid te mitigeren is om de firmware van uw smartLink HW-DP en smartLink HW-PN apparaten te updaten naar versie 1.02 of hoger. Softing heeft deze versie uitgebracht om het 'use-after-free' probleem aan te pakken. Het is cruciaal om deze update zo snel mogelijk toe te passen om uw systemen te beschermen tegen potentiële DoS-aanvallen. Voordat u updateert, wordt aanbevolen om een back-up te maken van de huidige apparaatconfiguratie. Raadpleeg de officiële Softing-documentatie voor gedetailleerde instructies over hoe u de firmware kunt bijwerken. Bovendien kan de implementatie van algemene beveiligingsmaatregelen, zoals firewalls en intrusion detection systemen, helpen om het risico op aanvallen te verminderen.
Update de firmware van het Softing smartLink HW-DP-apparaat naar een versie na 1.31 of de firmware van het Softing smartLink HW-PN-apparaat naar versie 1.02 of hoger. Dit lost de use-after-free-kwetsbaarheid op die HTTP-denial-of-service-aanvallen mogelijk maakt.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een HTTP DoS aanval is een type aanval waarbij een aanvaller probeert een webbrowser te overweldigen met een groot aantal verzoeken, waardoor deze ontoegankelijk wordt voor legitieme gebruikers.
Het is een type programmeerfout die optreedt wanneer een programma probeert toegang te krijgen tot geheugen dat al is vrijgegeven. Dit kan leiden tot crashes of een aanvaller in staat stellen kwaadaardige code uit te voeren.
U kunt de firmware-update downloaden van de officiële Softing-website: [Insert link to Softing website here].
Als u problemen ondervindt bij het updaten van de firmware, neem dan contact op met de technische ondersteuning van Softing voor hulp.
Tot op heden is er geen publieke exploit voor deze kwetsbaarheid uitgebracht. Het is echter belangrijk om de firmware-update toe te passen als preventieve maatregel.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.