Publicado el

[SCI] Múltiples vulnerabilidades en el router industrial Robustel R1510 [Actualizada]

Introducción

Francesco Benvenuto de Cisco Talos[1] ha descubierto recientemente nueve vulnerabilidades en el router industrial Robustel R1510, varias de las cuales podrían permitir que un adversario inyecte código en el sistema operativo de forma remota.

 

Análisis

Las vulnerabilidades críticas se han registrado con los siguientes identificadores:

CVE-2022-33325, CVE-2022-33329, CVE-2022-33312 y CVE-2022-33314: Un atacante podría inyectar comandos en el sistema operativo del router al enviar una solicitud de red especialmente diseñada.

CVE-2022-34845, CVE-2022-32585 y CVE-2022-34850: Un usuario podría ejecutar código arbitrario iniciando sesión como administrador.

CVE-2022-35261 y CVE-2022-35271: Un atacante podría enviar una solicitud de red especialmente diseñada para realizar, una denegación de servicio en la funcionalidad hashFirst del servidor web del dispositivo, pudiendo bloquearlo.

CVE-2022-28127 y CVE-2022-33897: Una atacante podría eliminar archivos arbitrarios en el servidor web del dispositivo, aunque se haya implementado una verificación de ruta transversal.

 

Recomendaciones

Cisco Talos ha comprobado que las versiones 3.3.0 y 3.1.16 del router Robustel R1510 son explotables con estas vulnerabilidades, con lo que recomienda actualizar los productos a sus versiones mas recientes tan pronto como sea posible.

Las siguientes reglas de Snort detectan los intentos de explotación contra esta vulnerabilidad: 60007 – 60035, 60388-60391, 60393 y 60455. Es posible que se publiquen reglas adicionales en el futuro y las reglas actuales están sujetas a cambios, a la espera de información adicional sobre la vulnerabilidad. Para obtener la información más actualizada sobre las reglas, consulte Snort.org[2] .

 

Referencias

[1] Cisco Talos Intelligence Group

[2] https://snort.org/

Publicado el

[SCI] Vulnerabilidad Spring4Shell que afecta a Sistemas de Control

Introducción

Se ha conocido una vulnerabilidad crítica en el framework Java Spring que permiten tomar remotamente el control de aplicaciones. Esta vulnerabilidad web, que recuerda a Log4Shell, afecta a la familia de productos siPass y Siveillance Identity de Siemens[1], Bosch MATRIX del fabricante Bosch[2] y Lumada Asset Performance Manager del fabricante Hitachi Energy[3].

 

Análisis

Spring4Shell o SpringShell han sido los nombres dados a la vulnerabilidad y que permite llegar a ejecutar código de forma remota mediante una secuencia de peticiones HTTP específicas.

La vulnerabilidad tiene una criticidad muy elevada, pudiendo comprometer la confidencialidad, integridad y disponibilidad de los datos. Se le ha asignado el identificador CVE-2022-22965, afecta a las aplicaciones Spring MVC y Spring WebFlux que se ejecutan en JDK 9+. El exploit requiere que la aplicación se ejecute en Tomcat como un despliegue WAR. Si la aplicación se despliega como un JAR ejecutable de Spring Boot (configuración por defecto) no es vulnerable.

La explotación de esta vulnerabilidad requiere un endpoint con DataBinder habilitado y depende en gran medida del contenedor de servlets de la aplicación.

 

Recomendaciones

Las vulnerabilidades se resuelven aplicando los parches recomendados por los fabricantes. Para el Siveillance Identity V1.5 y V1.6, aún no hay parche disponible y Siemens recomienda bloquear las conexiones entrantes y salientes entre el sistema e Internet.

 

Referencias

[1] Spring Framework Vulnerability (CVE-2022-22965) – Impact to Siemens Products

[2] Improper Control of Generation of Code in Bosch MATRIX

[3] Hitachi CYBERSECURITY ADVISORY

ICS Advisory (ICSA-22-286-01)

Publicado el

[SCI] Múltiples vulnerabilidades en los controladores PLCNext de Phoenix Contact

Introducción

El fabricante de componentes electrónicos Phoenix Contact[1] en coordinación con el CERT@VDE[2]  ha publicado un aviso con múltiples vulnerabilidades que afectan a componentes Linux en el firmware empleado en los controladores PLCnext.

 

Análisis

Se han encontrado un total de 83 vulnerabilidades de importancia crítica, alta y media que comprometerían la integridad, confidencialidad y disponibilidad de la familia de controladores PLCNext. Las vulnerabilidades más importantes son las siguientes, las cuales están clasificadas como críticas:

CVE-2022-32207: Al guardar datos de cookies en archivos locales se realiza un cambio de nombre del archivo de temporal a definitivo. En esa operación de cambio de nombre, se podrían ampliar los permisos para el archivo, dejándolo accesible a más usuarios de los previstos.

CVE-2022-2207: Vulnerabilidad de desbordamiento de búfer basado en pila.

CVE-2022-1927: Vulnerabilidad debida a lectura fuera de límites.

CVE-2022-0547: Falta de  autenticación.

CVE-2022-25235: Codificación incorrecta de la salida.

CVE-2022-25236: Ejecución de código arbitrario.

 

Recomendaciones

Las vulnerabilidades se resuelven actualizando a las últimas versiones de firmware LTS y de PLCnext Engineer LTS.

 

Referencias

[1] https://gavazziautomation.com

[2] https://cert.vde.com/en/

Publicado el

[SCI] Vulnerabilidad crítica en los PLC SIMATIC de Siemens

Introducción

Siemens[1] ha publicado en su comunicado mensual varias actualizaciones de seguridad entre los que destaca la reportada por la empresa de ciberseguridad industrial Claroty que aplica a las claves criptográficas de los PLC de la familia S7-1200/1500. Los investigadores han demostrado que un atacante podría usar estas claves para realizar múltiples ataques contra los dispositivos Siemens SIMATIC y el TIA Portal relacionado.

 

Análisis

Siemens ha emitido un total de 15 nuevos avisos de seguridad y una nota de información adicional para SSA-568427, recopilando un total de 24 vulnerabilidades, siendo 4 de severidad crítica, 13 altas, 6 medias y 1 baja.

Las vulnerabilidades de severidad crítica se corresponden con:

CVE-2022-38465: La clave privada no se protege suficientemente, lo que podría permitir a un atacante descubrirla mediante un ataque fuera de línea y obtener información confidencial de proyectos.

CVE-2022-41665: Los dispositivos afectados no validan el parámetro GET de una solicitud específica, esto podría permitir a un atacante autenticado realizar una denegación de servicio o ejecutar código arbitrario.

CVE-2022-33139: Las aplicaciones afectadas sólo utilizan la autenticación del lado del cliente, cuando no están habilitadas ni la autenticación del lado del servidor (SSA) ni la autenticación Kerberos, esto podría permitir a un atacante suplantar a otros usuarios o explotar el protocolo cliente-servidor sin estar autenticados.

CVE-2022-36361: Los dispositivos afectados no validan correctamente la estructura de los paquetes TCP en varios métodos. Esto podría permitir a un atacante provocar desbordamientos de búfer, obtener el control del contador de instrucciones y ejecutar código personalizado.

 

Recomendaciones

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el Panel de descaga de siemens[2]

 

Referencias

[1] https://siemensindustry.com

[2] Panel de descargas de Siemens