Publicado el

[SCI] Múltiples vulnerabilidades en productos de Festo

Introducción

La empresa de automatización alemana Festo fue informada por los investigadores Daniel dos Santos y Rob Hulsebos de Forescout de varias vulnerabilidades, dos de ellas críticas, sobre un posible acceso sin autenticación que permitiría el uso de protocolos no documentados y el acceso a archivos de configuración.

Análisis

Las dos vulnerabilidades de severidad crítica asociadas a todas las versiones de los productos afectados son las siguientes:

CVE-2022-31806 [1]: Inicialización insegura por defecto del recurso (CWE-1188)
La protección por contraseña no está activada por defecto y no hay información o aviso para activar la protección por contraseña en el inicio de sesión en caso de que no se establezca una contraseña en el controlador

CVE-2022-3270 [2]: Documentación técnica insuficiente (CWE-1059)
El producto no contiene suficiente documentación técnica o de ingeniería (ya sea en papel o en formato electrónico) que contenga descripciones de todos los elementos de software/hardware relevantes del producto, como su uso, estructura, componentes arquitectónicos, interfaces, diseño, implementación, configuración, funcionamiento, etc.

En varios productos de Festo, un atacante remoto no autentificado podría utilizar funciones de protocolos no documentados que podrían conducir a una pérdida completa de la confidencialidad, integridad y disponibilidad.

Todas las versiones de los productos mencionados a continuación:

      • Sistemas de cámara.
      • Interfaces Ethernet/IP.
      • Pasarelas.
      • Controladores de motores.
      • Servoaccionamientos.
      • Sistemas de visión.
      • Bloques de control.
      • Controladores.
      • Unidades de operadores.
      • Módulos de bus.
      • Nodos de bus.
      • Unidades integradas.
      • Unidades de operadores.
      • Planar surface gantry.

Los modelos específicos de cada producto se pueden consultar en los enlaces de las referencias.

Recomendaciones

Para CVE-2022-31806:

    • Habilitar la protección por contraseña en el inicio de sesión en caso de que no se haya establecido ninguna contraseña en el controlador. Tenga en cuenta que el archivo de configuración de la contraseña no está cubierto a través del mecanismo de copia de seguridad y restauración de FFT por defecto, debe seleccionar el archivo relacionado manualmente.

Para CVE-2022-3270 se informa de que Festo actualizará la documentación del manual técnico del usuario en la próxima versión del producto. Así que adicionalmente se aconseja:

    • Los usuarios que ejecuten la comunicación a través de una red no fiable y que necesiten una protección total deben cambiar a una solución alternativa, como ejecutar la comunicación a través de una VPN.
    • Festo recomienda encarecidamente minimizar y proteger el acceso a la red de los dispositivos conectados con técnicas y procesos de última generación. Para un funcionamiento seguro, siga las recomendaciones de los manuales de los productos y tenga en cuenta los protocolos y sus funciones compatibles en la ayuda en línea de Festo Field Device Tool o Festo Automation Suite.
    • Como parte de una estrategia de seguridad, Festo recomienda las siguientes medidas generales de defensa para reducir el riesgo de exploits:
        • Utilizar los controladores y dispositivos sólo en un entorno protegido para minimizar la exposición a la red y garantizar que no sean accesibles desde el exterior.
        • Utilice cortafuegos para proteger y separar la red del sistema de control de otras redes.
        • Utilizar túneles VPN (redes privadas virtuales) si se requiere acceso remoto.
        • Activar y aplicar funciones de gestión de usuarios y contraseñas.
        • Utilizar enlaces de comunicación encriptados.
        • Limitar el acceso al sistema de desarrollo y al de control por medios físicos, características del sistema operativo, etc.
        • Proteger tanto el sistema de desarrollo como el de control utilizando soluciones de detección de virus actualizadas.

Referencias

[1] Festo: Multiple Festo products contain an unsafe default Codesys configuration

[2] Festo: Incomplete documentation of remote accessible functions and protocols in Festo products

Publicado el

[SCI] Vulnerabilidades en firmware BMC afectan a dispositivos OT-IoT

Introducción

Investigadores de Nozomi Networks Labs[1] han encontrado múltiples vulnerabilidades en los controladores de gestión de la placa base de dispositivos IoT BMC de Lanner Inc.[2] basados ​​en el MegaRAC SP-X, de American Megatrends (AMI).

 

Análisis

Se han descubierto 13 vulnerabilidades, dos de las cuales permiten ser concatenadas y pasar de un control de autenticación fallido a la ejecución remota de código (RCE). El proceso se detalla a continuación:

CVE-2021-44467: Al inicio de sesión, la app web lanza un mensaje al usuario preguntando si desea terminar cualquier otra sesión activa. A pesar de que esta petición POST contiene una cookie QSESSIONID, la función que se encarga de llevar a cabo el proceso no realiza ninguna verificación de la sesión del usuario, por lo que un atacante podría terminar las sesiones de otros usuarios de manera aleatoria, provocando un ataque DoS.

CVE-2021-26728: El segundo fallo de seguridad está relacionado con la  implementación de las funciones que trabajan con los datos del parámetro «username», controlado por el usuario. Debido a que no se realiza una comprobación del tamaño de los datos que se le pasan y que éstos son transmitidos posteriormente a «safe_system» que, a pesar de su nombre, no implementa un procedimiento seguro, se puede conseguir ejecución remota de código con privilegios root, ya que todos los procesos se ejecutan con los privilegios de dicho usuario.

 

Recomendaciones

Se recomienda contactar con el servicio de soporte técnico, ya que la resolución de los fallos de seguridad dependen de las versiones del firmware BMC.

 

Referencias

[1] Nozominetworks.com/blog/vulnerabilities-in-bmc-firmware
[2] Una al día Hispasec
[3] Security week

Publicado el

[SCI] Nueva vulnerabilidad crítica detectada en productos Mitsubishi Electric

Introducción

Los expertos de Positive Technologies: Dmitry Sklyarov y Anton Dorfman, han identificado una vulnerabilidad crítica en software de FA ingeniería de Mitsubishi Electric [1].

Análisis

La vulnerabilidad de severidad crítica asociada al producto afectado es la siguiente:

    • CVE-2022-29830: Uso de claves de cifrado codificadas (CWE-321) :
      El impacto potencial puede incluir que la información confidencial puede divulgarse o alterarse, lo que resulta en la adquisición no autorizada de información sobre los archivos del proyecto.

El software y sus versiones afectadas:

    • GX Works3:
      • 1.000A o posteriores, y 1.011M y anteriores.
      • 1.015R o posteriores, y 1.086Q y anteriores.
      • 1.087R o posteriores.

Recomendaciones

Por parte de Mitsubishi está planeada próximamente la publicación de las correcciones. Hasta entonces, se aconseja aplicar las siguientes medidas de mitigación:

    • Asegurarse que los atacantes maliciosos no puedan acceder, vía redes no confiables, a ficheros de proyectos o claves de seguridad que estén almacenadas en el ordenador/servidor y los ficheros de configuración que estén guardadas en el ordenador personal que ejecuta el software.
    • Instalar software antivirus en tu ordenador personal que ejecuta el software afectado.
    • Encriptar los ficheros de proyecto y claves de seguridad cuando se envíen o reciban a través de internet.

Referencias

[1] Multiple Vulnerabilities in Multiple FA Engineering Software

Publicado el

[SCI] Vulnerabilidades en productos AVEVA Edge

Introducción

Sam Hanson de Dragos ha reportado al CISA[1] cuatro vulnerabilidades de severidad crítica en las versiones 2020 R2 SP1 y anteriores del software HMI/SCADA de AVEVA Edge, antes conocido como InduSoft Web Studio[2].

 

Análisis

Las vulnerabilidades, de importancia crítica y cuya explotación podría permitir a un atacante insertar archivos DLL maliciosos para ejecutar código, han sido registradas con los siguientes identificadores:

CVE-2016-2542: Un atacante con acceso al sistema de archivos podría ejecutar código arbitrario y la escalada de privilegios al engañar al paquete InstallShield de AVEVA Edge para que cargue una DLL no segura.

CVE-2021-42796: Un actor malicioso podría escanear la red interna y exponer información confidencial del dispositivo.

CVE-2021-42794:La vulnerabilidad permite la ejecución de comandos arbitrarios no autenticados con el contexto de seguridad del proceso StADOSvr.exe. En la mayoría de los casos, será una cuenta de usuario con privilegios estándar con la que se inició el tiempo de ejecución de AVEVA Edge.

CVE-2021-42797: Un actor no autenticado, podría engañar al AVEVA Edge runtime para que revele un token de acceso de Windows de la cuenta de usuario configurada para acceder a recursos de base de datos externos.

 

Recomendaciones

AVEVA aconseja que las organizaciones evalúen el impacto de estas vulnerabilidades en función del sistema operativo, la arquitectura y las implementaciones de productos, de la misma manera recomienda aplicar la actualización 2020 R2 SP2[3] lo antes posible y restringir el acceso al puerto TCP/3997.

 

Referencias

[1] ICS Advisory (ICSA-22-326-01 ) AVEVA Edge
[2] Boletín de seguridad de AVEVA Edge
[3] AVEVA Edge 2020 R2 SP2