Múltiplas leituras implícitas em paralelo podem resultar em falha ou negação de serviço
Plataforma
other
Componente
softing-smartlink-hw-dp-hw-pn-webserver
Corrigido em
1.31.1
1.02
CVE-2024-14028 é uma vulnerabilidade de Use-After-Free que leva a um ataque de negação de serviço (DoS) HTTP no webserver Softing smartLink HW-DP e HW-PN. A exploração bem-sucedida pode resultar na interrupção do serviço. Afeta versões ≤1.32. A vulnerabilidade foi corrigida na versão 1.02.
Impacto e Cenários de Ataque
A vulnerabilidade CVE-2024-14028 afeta os dispositivos smartLink HW-DP e smartLink HW-PN da Softing, especificamente o seu servidor web. Trata-se de uma vulnerabilidade de 'uso após liberação' (use-after-free) que pode ser explorada para realizar um ataque de negação de serviço (DoS) HTTP. Isso significa que um atacante pode sobrecarregar o servidor web, tornando-o inacessível para usuários legítimos. As versões afetadas do smartLink HW-DP são até a 1.31, enquanto para o smartLink HW-PN a vulnerabilidade existe em versões anteriores à 1.02. A severidade da vulnerabilidade, de acordo com o CVSS, é 6.5, o que indica um risco moderado. A ausência de um KEV (Kernel Exploitability Vector) sugere que a exploração pode requerer condições específicas ou ser mais complexa.
Contexto de Exploração
A vulnerabilidade reside no servidor web integrado dos dispositivos smartLink HW-DP e HW-PN. Um atacante pode explorá-la enviando solicitações HTTP especialmente concebidas que provoquem o 'uso após liberação'. Isso pode resultar num falha do servidor web, impedindo que responda às solicitações legítimas. A exploração provavelmente requer um conhecimento profundo do funcionamento interno do servidor web e a capacidade de enviar solicitações HTTP personalizadas. Embora não tenha sido publicado um exploit público, a natureza da vulnerabilidade a torna um alvo potencial para atacantes com habilidades técnicas.
Quem Está em Riscotraduzindo…
Organizations utilizing Softing smartLink HW-DP or HW-PN devices in industrial control systems, data acquisition networks, or any environment where the webserver is exposed to external or untrusted networks are at risk. Legacy deployments running older firmware versions are particularly vulnerable.
Linha do Tempo do Ataque
- Disclosure
disclosure
Inteligência de Ameaças
Status do Exploit
EPSS
0.04% (percentil 11%)
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Nenhum — sem autenticação necessária para explorar.
- User Interaction
- Necessária — a vítima deve abrir um arquivo, clicar em um link ou visitar uma página.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Nenhum — sem impacto na confidencialidade.
- Integrity
- Nenhum — sem impacto na integridade.
- Availability
- Alto — falha completa ou esgotamento de recursos. Negação de serviço total.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
- EPSS atualizado
Mitigação e Soluções Alternativas
A solução para mitigar esta vulnerabilidade é atualizar o firmware dos seus dispositivos smartLink HW-DP e smartLink HW-PN para a versão 1.02 ou superior. A Softing publicou esta versão para corrigir o problema de 'uso após liberação'. É crucial aplicar esta atualização o mais rápido possível para proteger os seus sistemas contra possíveis ataques DoS. Antes de atualizar, recomenda-se realizar uma cópia de segurança da configuração atual do dispositivo. Consulte a documentação oficial da Softing para obter instruções detalhadas sobre como atualizar o firmware. Além disso, implementar medidas de segurança gerais, como firewalls e sistemas de detecção de intrusos, pode ajudar a reduzir o risco de ataques.
Como corrigirtraduzindo…
Actualizar el firmware de Softing smartLink HW-DP a una versión posterior a 1.31 y smartLink HW-PN a la versión 1.02 o posterior. Esto solucionará la vulnerabilidad de use-after-free que permite ataques de denegación de servicio (DoS) a través de HTTP.
Boletim de Segurança CVE
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Perguntas frequentes
O que é CVE-2024-14028 — Use-After-Free em Softing smartLink HW-DP/HW-PN webserver?
Um ataque DoS HTTP é um tipo de ataque em que um atacante tenta sobrecarregar um servidor web com um grande volume de solicitações, tornando-o inacessível para os usuários legítimos.
Estou afetado pelo CVE-2024-14028 no Softing smartLink HW-DP/HW-PN webserver?
É um tipo de erro de programação que ocorre quando um programa tenta aceder a uma memória que já foi liberada. Isso pode causar falhas ou permitir que um atacante execute código malicioso.
Como corrijo o CVE-2024-14028 no Softing smartLink HW-DP/HW-PN webserver?
Pode descarregar a atualização de firmware do site oficial da Softing: [Insert link to Softing website here].
O CVE-2024-14028 está sendo explorado ativamente?
Se tiver problemas para atualizar o firmware, contacte o suporte técnico da Softing para obter ajuda.
Onde encontro o aviso oficial do Softing smartLink HW-DP/HW-PN webserver para o CVE-2024-14028?
Até à data, não foi publicado um exploit público para esta vulnerabilidade. No entanto, é importante aplicar a atualização de firmware o mais rápido possível como medida preventiva.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.