Autor: Industriales CSIRT-CV

El equipo de Tenable ha publicado, en coordinación con el fabricante afectado Rockwell Automation, 3 vulnerabilidades, 1 de severidad crítica y 2 altas.

Análisis

La vulnerabilidad de severidad crítica^[1] es la siguiente:

• • CVE-2023-2917: Validación incorrecta de las entradas (CWE- 20):

Debido a una validación de entrada incorrecta, existe una vulnerabilidad de path traversal, a través del campo de nombre de archivo, cuando el ThinManager procesa una determinada función. Si se aprovecha, un atacante remoto no autenticado puede cargar archivos arbitrarios en cualquier directorio de la unidad de disco donde está instalado ThinServer.exe. Un usuario malintencionado podría explotar esta vulnerabilidad enviando un mensaje de protocolo de sincronización manipulado.

Recomendaciones

Actualizar el producto ThinManager ThinServer afectado:

• • Versiones 11.0.0-11.2.6: Actualizar a 11.0.7^[2]
  • Versiones 11.1.0-11.1.6: Actualizar a 11.1.7^[3]
  • Versiones 11.2.0-11.2.6: Actualizar a 11.2.8^[4]
  • Versiones 12.1.0-12.1.6: Actualizar a 12.1.7^[5]
  • Versiones 12.0.0-12.0.5: Actualizar a 12.0.6^[6]
  • Versiones 13.0.0-13.0.2: Actualizar a 13.0.3^[7]
  • Versión 13.1.0: Actualizar a 13.1.1^[8]

Referencias

[1] ICSA-23-234-03 – Rockwell Automation ThinManager ThinServer
[2] 11.0.7-ThinManager-Web
[3] 11.1.7-ThinManager-Web
[4] 11.2.8-ThinManager-Web
[5] 12.1.7-ThinManager-Web
[6] 12.0.6-ThinManager-Web
[7] ThinManager 13.0.3
[8] ThinManager 13.1.1

Introducción

INCIBE ha coordinado la publicación de 10 vulnerabilidades, una de ellas crítica,  descubiertas por el equipo de Ciberseguridad Industrial de S21sec en los dispositivos industriales ekorCCP y ekorRCI de Ormazabal.

Análisis

La vulnerabilidad de severidad critica asociada a la versión firmware 601j de los dispositivos: ekorCCP ^[1]  y ekorRCI^[2] es la siguiente:

• • • CVE-2022-47558: Control de acceso inadecuado (CWE-284) :
      Los dispositivos son vulnerables debido al acceso al servicio FTP utilizando credenciales por defecto. La explotación de esta vulnerabilidad puede permitir a un atacante modificar ficheros críticos que podrían permitir la creación de nuevos usuarios, borrar o modificar usuarios existentes, modificar ficheros de configuración, instalación de rootkits o backdoor.

El listado completo de vulnerabilidades puede consultarse en las referencias ^[3].

Recomendaciones

Los dispositivos afectados se encuentran en el fin de ciclo de su vida útil. Ormazabal recomienda actualizar a los modelos actualizados.

Referencias

[1]Ficha de producto: ekorCCP

[2]Ficha de producto: ekorRCI

[3]https://www.incibe.es/incibe-cert/alerta-temprana/avisos-sci/multiples-vulnerabilidades-en-productos-de-ormazabal?sstc=u19798nl260773

Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 12 nuevos avisos de seguridad, recopilando un total de 37 vulnerabilidades de distintas severidades, 2 de ellas vulnerabilidades de severidad crítica.

Análisis

La vulnerabilidad de severidad critica asociada a los casi 150 productos RUGGEDCOM ^[1] afectados es la siguiente:

• • • CVE-2023-24845: Provisión incorrecta de la funcionalidad especificada (CWE- 684) :
      Los productos afectados no bloquean suficientemente el reenvío de datos a través del port mirror a la red reflejada. Un atacante podría utilizar este comportamiento para transmitir paquetes maliciosos a los sistemas de la red en espejo, posiblemente influyendo en su configuración y comportamiento en tiempo de ejecución.

La vulnerabilidad de severidad critica asociada a los productos RUGGEDCOM CROSSBOW^[2] es la siguiente:

• • • CVE-2023-37372: Inyección de comandos SQL (CWE-89) :
      La aplicación afectada es vulnerable a la inyección SQL. Esto podría permitir a un atacante remoto no autenticado ejecutar consultas SQL arbitrarias en la base de datos del servidor.
      • RUGGEDCOM CROSSBOW: Todas las versiones < V5.4

El listado completo de productos y versiones afectadas puede consultarse en las referencias.

Recomendaciones

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens^[3]. Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de ‘Referencias’.

Referencias

[1]SSA-908185: Mirror Port Isolation Vulnerability in RUGGEDCOM ROS Devices

[2]SSA-472630: Security Vulnerabilities Fixed in RUGGEDCOM CROSSBOW V5.4

[3]Panel de descarga de Siemens

CERT@VDE ha informado y coordinado la publicación de varias vulnerabilidades descubiertas en productos de Phoenix Contact, incluyendo dispositivos TC ROUTER, TC CLOUD CLIENT, CLOUD CLIENT y PLCnext Engineer, que podrían permitir a un atacante una ejecución de código en el contexto del navegador del usuario, una ejecución remota de código, el robo de datos o impedir que el sistema funcione correctamente.

 

Análisis

Las vulnerabilidades de severidad crítica asociada son las siguientes:

• • • CVE-2019-1353: En los dispositivos PLCnext Engineer se utiliza la biblioteca LibGit2Sharp que contiene diferentes vulnerabilidades, permitiendo la más crítica, la utilización de archivos git, que conducen a una ejecución remota de código.^[1]
  • • CVE-2023-3526: En los dispositivos TC ROUTER, TC CLOUD CLIENT y CLOUD CLIENT la vulnerabilidad más crítica permitiría a un atacante remoto no autenticado usar un XSS reflejado dentro de la página del visor de licencias de los dispositivos.^[2]

Las vulnerabilidades afectan a los siguientes recursos:

• • PLCnext Engineer, versiones iguales o anteriores a 2023.3;
  • CLOUD CLIENT 1101T-TX/TX, versiones anteriores a 2.06.10;
  • TC CLOUD CLIENT 1002-4G, versiones anteriores a 2.07.2;
  • TC CLOUD CLIENT 1002-4G ATT, versiones anteriores a 2.07.2;
  • TC CLOUD CLIENT 1002-4G VZW, versiones anteriores a 2.07.2;
  • TC ROUTER 3002T-4G, versiones anteriores a 2.07.2;
  • TC ROUTER 3002T-4G ATT, versiones anteriores a 2.07.2;
  • TC ROUTER 3002T-4G VZW, versiones anteriores a 2.07.2.

Recomendaciones

Phoenix Contact recomienda encarecidamente actualizar a la última versión de firmware disponible de los dispositivos TC ROUTER, TC CLOUD CLIENT y CLOUD CLIENT, así como a la versión 2023.6 de PLCnext Engineer.

 

Referencias

[1] VDE-2023-016: PHOENIX CONTACT
[2] VDE-2023-017: PHOENIX CONTACT