Autor: Industriales CSIRT-CV

Introducción

El CERT@VDE^[1], ha reportado 2 vulnerabilidades, una de severidad crítica y otra alta, que afectan a Profinet SDK de la empresa Phoenix Contact^[2]. Un atacante podría hacer que un programa se bloquee, usar valores inesperados o ejecutar código arbitrario al explotar estas vulnerabilidades.

 

Análisis

Las vulnerabilidades identificadas se encuentran en la librería del analizador XML Expat (libexpat). Este componente de código abierto se usa ampliamente en muchos productos en todo el mundo.

CVE-2022-40674: La disponibilidad, integridad o confidencialidad de un dispositivo que utilice PROFINET Controller Stack podrían verse comprometidas por ataques que exploten esta vulnerabilidad.

 

Recomendaciones

Se recomienda actualizar la librería libexpat a la versión 2.4.9 o superiores y el Profinet SDK a la versión 6.7 o superior.

 

Referencias

[1] VDE-2022-058
[2] Security Advisory for PROFINET SDK

Introducción

Schneider Electric^[1], ha detectado 6 vulnerabilidades: 2 de severidad crítica, 3 de severidad alta y 1 de severidad media. Estas vulnerabilidades podrían permitir a un atacante ejecutar código de forma remota, realizar una escalada de privilegios, evitar una autenticación para acceder a la aplicación o provocar una denegación de servicio.

 

Análisis

Las vulnerabilidades de severidad crítica afectan al APC Easy UPS Online Monitoring Software con versión V2.5-GA y posteriores y versión V2.5-GA-01-22261 y posteriores.

CVE-2022-42970: Esta vulnerabilidad podría permitir a un atacante acceso sin necesidad de autenticación e interactuar con una funcionalidad que requiere una identidad de usuario demostrable, lo que provocaría un gran consumo de recursos.

CVE-2022-42971: La explotación de esta vulnerabilidad de severidad crítica podría permitir a un atacante cargar un archivo JSP malicioso produciendo una ejecución remota de código.

 

Recomendaciones

Schneider Electric recomienda a los usuarios actualizar el software a la versión 2.5-GA-01-22320 de APC Easy UPS Online Monitoring para las vulnerabilidades que afectan a Windows 7, 10, 11, y Windows Server 2016, 2019, y 2022.

 

Referencias

[1] Schneider Electric Security Notification

Introducción

La empresa IFM ha recibido un reporte, del investigador Aimon Dawson, sobre una vulnerabilidad crítica de mecanismo débil de recuperación de contraseñas que afecta a los dispositivos QHA200 y QHA210. El fabricante ha remitido el reporte al CERT@VDE ^[1].

Análisis

Los dispositivos hardware QHA200 y QHA210 de IFM podrían permitir que un atacante remoto no autenticado reseteara la contraseña de administrador en el servidor dedicado (appliance) Moneo.

Para explotar esta vulnerabilidad, el atacante solo necesitaría proveer el número de serie, con el objetivo de reiniciar las credenciales de administrador.

La vulnerabilidad de severidad crítica asociada al producto afectado es la siguiente:

• • CVE-2022-3485. CWE-640: Mecanismo de recuperación de contraseña débil para contraseña olvidada.
    El software contiene un mecanismo para que los usuarios recuperen o cambien sus contraseñas sin conocer la contraseña original, pero el mecanismo es débil. Un atacante remoto podría explotar esta vulnerabilidad para resetear la contraseña de administrador.

Recursos afectados:
Versiones 1.9.3 y anteriores de:

• • Moneo appliance QHA200.
  • Moneo appliance QHA210.

Recomendaciones

El fabricante informa de que en una futura versión la vulnerabilidad será solucionada. El CERT@VDE ha publicado la siguiente serie de medidas de mitigación:

• • Cuando utilice componentes de automatización, asegúrese de que no pueda producirse ningún acceso no autorizado.
  • Además, deben tomarse medidas para garantizar que los componentes no tengan acceso directo a recursos de Internet y que no se pueda acceder a ellos desde redes inseguras.
  • Utilice las medidas de seguridad disponibles, como los grupos de autenticación y autorización.

Referencias

[1] VDE-2022-050 IFM: weak password recovery vulnerability in moneo appliance

Introducción

M1etz, a través del CERT-Bund^[1], ha reportado tres vulnerabilidades, una de ellas de severidad crítica que podrían permitir a un atacante obtener credenciales y posteriormente control completo del dispositivo afectado.

 

Análisis

Las vulnerabilidades de severidad alta y crítica afectan al Remote Compact Controller (RCC) 972 con versiones de firmware 15.40 y anteriores.

CVE-2022-2640: Los archivos de configuración del RCC están cifrados con encriptación XOR débil vulnerable a la ingeniería inversa. Esto podría permitir que un atacante obtenga credenciales para ejecutar servicios como el Protocolo de transferencia de archivos (FTP) y el Protocolo de transferencia de hipertexto (HTTP).

CVE-2022-2641: La explotación de esta vulnerabilidad de severidad crítica podría permitir que un atacante realice cambios no autorizados en el dispositivo, ejecute código arbitrario de forma remota o provoque una condición de denegación de servicio.

CVE-2022-2642: La versión 15.40 del firmware RCC 972 de Horner Automation contiene variables globales. Esto podría permitir que un atacante lea valores confidenciales y claves variables del dispositivo. Se ha asignado una puntuación en base CVSS v3 de 7,5.

 

Recomendaciones

Horner Automation recomienda que los usuarios actualicen RCC 972 a la versión de firmware 15.60 o posterior^[2]. 

 

Referencias

[1] ICS Advisory (ICSA-22-335-02) – Horner Automation Remote Compact Controller Original release date: December 01, 2022

[2] Controller Firmaware Horner Automation Remote