Autor: Industriales CSIRT-CV

Varios investigadores de Claroty Research (Team82), STAR Labs y Team ECQ, han reportado 7 vulnerabilidades detectadas en SCADA Data Gateway del fabricante Triangle MicroWorks, 1 de severidad crítica y 6 altas. La explotación de estas vulnerabilidades podría permitir a un atacante omitir el proceso de autenticación, crear archivos maliciosos, ejecutar código arbitrario o divulgar información sensible.^[1]

Análisis

La vulnerabilidad de severidad critica asociada al producto afectado es la siguiente:

• • CVE-2023-39457: La vulnerabilidad se origina debido a un fallo en la configuración por defecto del sistema que provoca la omisión de autenticación del usuario, habilitando que un atacante pueda ejecutar código arbitrario con privilegios de root.

La vulnerabilidad afecta a las versiones anteriores a la 5.02.00 del SCADA Data Gateway

Recomendaciones

El fabricante propone actualizar SCADA Data Gateway a la versión 5.02.00 para solucionar la vulnerabilidad.

Referencias

[1] Triangle MicroWorks SCADA Data Gateway

Ahmed Alroky y Superzerosec han reportado una vulnerabilidad de severidad crítica, cuya explotación podría permitir a un atacante la ejecución de código de forma remota.^[1]

Análisis

La vulnerabilidad de severidad critica asociada al producto afectado es la siguiente:

• • CVE-2023-28343: Inyección de comandos del sistema operativo(CWE-78):

La inyección de comandos del sistema operativo afecta al software Altenergy Power Control C1.2.5 a través de metacaracteres de shell en el parámetro timezone de index.php/management/set_timezone, debido a set_timezone en models/management_model.php

Recomendaciones

Por el momento, APSystems no ha proporcionado medidas de mitigación para esta vulnerabilidad. CISA recomienda a los usuarios afectados contactar con APSystems para solicitar información adicional.

Referencias

[1] APSystems Altenergy Power Control

Introducción

Emerson ha informado de una vulnerabilidad en sus controladores ROC800-Series RTU y DL8000 por omisión de autenticación^[1], lo que podría permitir a un atacante causar una condición de denegación de servicio, obtener acceso no autorizado a los datos, o al control del dispositivo.

Análisis

La vulnerabilidad de severidad critica asociada al producto afectado es la siguiente:

• • CVE-2023-1935: Evasión de autenticación por debilidad primaria (CWE-305):

Los dispositivos RTU de la serie ROC800 son vulnerables a una omisión de autenticación, lo que podría permitir que un atacante obtenga acceso no autorizado a los datos o al control del dispositivo y provoque una condición de denegación de servicio.

Recursos y versiones afectadas:

• • ROC809 y ROC827: todas las versiones de firmware, todas las series de hardware.
  • ROC809L y ROC827L: todas las versiones de firmware.
  • DL8000: todas las versiones de firmware, todas las series de hardware.
  • ROC800 y DL8000 de la serie 1 quedaron obsoletos en 2008 al comenzar la serie 2.

Recomendaciones

Emerson ha publicado nuevas versiones de firmware para los dispositivos afectados que se pueden descargar en SupportNet Portal^[2].
Se pueden aplicar actualizaciones de firmware de RTU Emerson ROC800-Series para parchear la vulnerabilidad de autenticación:

• • ROC800 Series 2-3.91 firmware o posterior.
  • ROC800 Series 1-Actualice el hardware a Series 2 con firmware 3.91 o posterior.
  • ROC800L Serie 2-1.71 firmware o posterior.
  • DL8000 Series 2-2.60 firmware o posterior.
  • DL8000 Serie 1-Actualizar hardware a Serie 2 con firmware 2.60 o posterior.

Antes de instalar el firmware en la RTU, valide que los hash MD5/SHA256 publicados por Emerson en SupportNet coincidan con la imagen del firmware confirmando que es genuina y no está modificada.

Referencias

[1] ICSA-23-206-03: Emerson ROC800 Series RTU and DL8000 Preset Controller
[2] SupportNet Portal

Introducción

CISA^[1] ha notificado una vulnerabilidad descubierta a través de una PoC pública de Chan Nyein Wai que afecta a cámaras GV-ADR2701 del fabricante GeoVision. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante iniciar sesión en la aplicación web de la cámara.

 

Análisis

La vulnerabilidad de severidad crítica afecta a la versión 1.00_2017_12_15 de GV-ADR2701 y se le ha asignado el siguiente identificador.

• • CVE-2023-3638: La vulnerabilidad podría provocar que un atacante editara la respuesta de inicio de sesión para acceder a la aplicación web de la cámara vulnerable.
•  

Recomendaciones

El fabricante, GeoVision, recomienda cambiar a modelos más nuevos con la última actualización de firmware que hayan verificado que no son vulnerables, como por ejemplo TDR2704, TDR2702 o TDR2700.

 

Referencias

[1] ICSA-23-199-05 – GeoVision GV-ADR2701