Autor: Industriales CSIRT-CV

Introducción

Se ha conocido una vulnerabilidad crítica en el framework Java Spring que permiten tomar remotamente el control de aplicaciones. Esta vulnerabilidad web, que recuerda a Log4Shell, afecta a la familia de productos siPass y Siveillance Identity de Siemens^[1], Bosch MATRIX del fabricante Bosch^[2] y Lumada Asset Performance Manager del fabricante Hitachi Energy^[3].

 

Análisis

Spring4Shell o SpringShell han sido los nombres dados a la vulnerabilidad y que permite llegar a ejecutar código de forma remota mediante una secuencia de peticiones HTTP específicas.

La vulnerabilidad tiene una criticidad muy elevada, pudiendo comprometer la confidencialidad, integridad y disponibilidad de los datos. Se le ha asignado el identificador CVE-2022-22965, afecta a las aplicaciones Spring MVC y Spring WebFlux que se ejecutan en JDK 9+. El exploit requiere que la aplicación se ejecute en Tomcat como un despliegue WAR. Si la aplicación se despliega como un JAR ejecutable de Spring Boot (configuración por defecto) no es vulnerable.

La explotación de esta vulnerabilidad requiere un endpoint con DataBinder habilitado y depende en gran medida del contenedor de servlets de la aplicación.

 

Recomendaciones

Referencias

[1] Spring Framework Vulnerability (CVE-2022-22965) – Impact to Siemens Products

[2] Improper Control of Generation of Code in Bosch MATRIX

[3] Hitachi CYBERSECURITY ADVISORY

ICS Advisory (ICSA-22-286-01)

Introducción

El fabricante de componentes electrónicos Phoenix Contact^[1] en coordinación con el CERT@VDE^[2]  ha publicado un aviso con múltiples vulnerabilidades que afectan a componentes Linux en el firmware empleado en los controladores PLCnext.

 

Análisis

Se han encontrado un total de 83 vulnerabilidades de importancia crítica, alta y media que comprometerían la integridad, confidencialidad y disponibilidad de la familia de controladores PLCNext. Las vulnerabilidades más importantes son las siguientes, las cuales están clasificadas como críticas:

CVE-2022-32207: Al guardar datos de cookies en archivos locales se realiza un cambio de nombre del archivo de temporal a definitivo. En esa operación de cambio de nombre, se podrían ampliar los permisos para el archivo, dejándolo accesible a más usuarios de los previstos.

CVE-2022-2207: Vulnerabilidad de desbordamiento de búfer basado en pila.

CVE-2022-1927: Vulnerabilidad debida a lectura fuera de límites.

CVE-2022-0547: Falta de  autenticación.

CVE-2022-25235: Codificación incorrecta de la salida.

CVE-2022-25236: Ejecución de código arbitrario.

 

Recomendaciones

Referencias

[1] https://gavazziautomation.com

[2] https://cert.vde.com/en/

Introducción

Siemens^[1] ha publicado en su comunicado mensual varias actualizaciones de seguridad entre los que destaca la reportada por la empresa de ciberseguridad industrial Claroty que aplica a las claves criptográficas de los PLC de la familia S7-1200/1500. Los investigadores han demostrado que un atacante podría usar estas claves para realizar múltiples ataques contra los dispositivos Siemens SIMATIC y el TIA Portal relacionado.

 

Análisis

Siemens ha emitido un total de 15 nuevos avisos de seguridad y una nota de información adicional para SSA-568427, recopilando un total de 24 vulnerabilidades, siendo 4 de severidad crítica, 13 altas, 6 medias y 1 baja.

Las vulnerabilidades de severidad crítica se corresponden con:

CVE-2022-38465: La clave privada no se protege suficientemente, lo que podría permitir a un atacante descubrirla mediante un ataque fuera de línea y obtener información confidencial de proyectos.

CVE-2022-41665: Los dispositivos afectados no validan el parámetro GET de una solicitud específica, esto podría permitir a un atacante autenticado realizar una denegación de servicio o ejecutar código arbitrario.

CVE-2022-33139: Las aplicaciones afectadas sólo utilizan la autenticación del lado del cliente, cuando no están habilitadas ni la autenticación del lado del servidor (SSA) ni la autenticación Kerberos, esto podría permitir a un atacante suplantar a otros usuarios o explotar el protocolo cliente-servidor sin estar autenticados.

CVE-2022-36361: Los dispositivos afectados no validan correctamente la estructura de los paquetes TCP en varios métodos. Esto podría permitir a un atacante provocar desbordamientos de búfer, obtener el control del contador de instrucciones y ejecutar código personalizado.

 

Recomendaciones

Referencias

[1] https://siemensindustry.com

[2] Panel de descargas de Siemens

Introducción

Rockwell Automation^[1] ha reportado a CISA^[2] dos vulnerabilidades de severidad crítica en su producto FactoryTalk VantagePoint EMI Client, una referida al control de acceso inadecuado y otra vulnerabilidad que permite la inyección SQL.

 

Análisis

Las vulnerabilidades que están clasificadas como críticas tienen los siguientes identificadores:

CVE-2022-38743: El producto afectado tiene controles de acceso inadecuados. La cuenta de FactoryTalk VantagePoint SQLServer podría permitir que un usuario malintencionado con privilegios de solo lectura ejecute sentencias SQL en la base de datos del back-end.

CVE-2022-3158: El producto afectado carece de validación de entrada cuando los usuarios ingresan declaraciones SQL para recuperar información de la base de datos del back-end. Esta vulnerabilidad podría permitir potencialmente que un usuario con privilegios de usuario básicos realice la ejecución remota de código en el servidor.

 

Recomendaciones

Referencias

[1] https://rockwellautomation.com

[2] https://www.cisa.gov