Publicado el

[SCI] Inyección de comandos en productos de Moxa

Introducción

Rex Weng, del Centro de Seguridad de Productos de Moxa, ha descubierto una sería de vulnerabilidades en productos de Moxa, una de ellas de severidad crítica, que, de ser explotadas, podrían permitir la ejecución de comandos arbitrarios del sistema y obtener acceso de root.[1]  

Análisis

Las vulnerabilidad crítica encontrada es la siguiente:

    • CVE-2025-0415 – Neutralización indebida de elementos especiales utilizados en un comando del Sistema Operativo (inyección de comandos del Sistema Operativo) (CWE-78):

Un atacante remoto con privilegios de administrador web podría explotar la interfaz web del dispositivo y ejecutar comandos arbitrarios del sistema dentro de las propiedades NTP. Si se explota con éxito podría obtener el control total del dispositivo.

Los recursos afectados son los siguientes:

    • EDF-G1002-BP Series, versión de firmware 3.14 y anteriores;
    • EDR-810 Series, versión de firmware 5.12.39 y anteriores;
    • EDR-8010 Series, versión de firmware 3.14 y anteriores;
    • EDR-G9004 Series, versión de firmware 3.14 y anteriores;
    • EDR-G9010 Series, versión de firmware 3.14 y anteriores;
    • OnCell G4302-LTE4 Series, versión de firmware 3.14 y anteriores;
    • TN-4900 Series, versión de firmware 3.14 y anteriores.
    • NAT-102 Series, versión de firmware 3.15 y anterior.

Recomendaciones

Actualizar el firmware de los siguientes productos:

    • EDF-G1002-BP Series[2]  , versión 3.17 o posterior;
    • EDR-810 Series[3]  , versión 5.12.41 o posterior;
    • EDR-8010 Series[4]  , versión 3.17 o posterior.
    • NAT-102 Series, versión 3.17 o posterior.

Para los productos del siguiente listado, contactar con el servicio técnico de Moxa:

    • EDR-G9004 Series;
    • EDR-G9010 Series;
    • OnCell G4302-LTE4 Series;
    • TN-4900 Series.

Referencias

[1] Moxa MPSA-259491 – CVE-2025-0415: Command Injection Leading to Denial-of-Service in Secure Routers, Cellular Routers, and Network Security Appliances
[2] EDF-G1002-BP Series, versión 3.17
[3] EDR-810 Series, versión 5.12.41
[4] EDR-8010 Series, versión 3.17

Publicado el

[SCI] Múltiples vulnerabilidades en productos ABB

Introducción

Varios investigadores han reportado un total de 31 vulnerabilidades que afectan a varios productos ABB siendo 16 de ellas de severidad crítica.[1]  La explotación de estas vulnerabilidades podría permitir a un atacante interrumpir las operaciones o ejecutar código remoto.[2]

Análisis

Las vulnerabilidades críticas encontradas son las siguientes:

    • CVE-2024-6209 – Acceso externo a archivos y directorios (CWE-552):

Acceso no autorizado a archivos en WEB Server permite a un atacante acceder a archivos no autorizados.

    • CVE-2024-6298 – Incorrecta validación de entrada de tipo específica (CWE-1287):

Vulnerabilidad de validación de entrada incorrecta en ABB ASPECT-Enterprise en Linux, ABB NEXUS Series en Linux, ABB MATRIX Series en Linux permite la inclusión remota de código.

    • CVE-2024-6515 – Transmisión de información sensible en texto claro (CWE-319):

La interfaz del navegador web puede manipular el nombre de usuario y la contraseña de la aplicación en texto simple o codificación Base64, lo que aumenta la probabilidad de exposición no deseada de credenciales.

    • CVE-2024-6516 – Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting) (CWE-79):

Se encontraron vulnerabilidades de cross site scripting que permitían la inyección de scripts maliciosas en el navegador de un cliente.

    • CVE-2024-6784 – Falsificación de solicitud en servidor (SSRF) (CWE-918):

Se encontraron vulnerabilidades de Server-Side Request Forgery que brindan la posibilidad de acceder a recursos no autorizados y divulgar información no deseada.

    • CVE-2024-48845 – Requerimientos débiles para la creación de contraseñas (CWE-521):

Se encontraron vulnerabilidades en las reglas de restablecimiento de contraseñas débiles que brindan la posibilidad de almacenar contraseñas débiles que podrían facilitar el acceso no autorizado a aplicaciones o administradores.

    • CVE-2024-48839 – Control incorrecto de generación de código (CWE-94):

La vulnerabilidad de validación de entrada incorrecta permite la ejecución remota de código.

    • CVE-2024-48840 – Control incorrecto de generación de código (CWE-94):

Las vulnerabilidades de acceso no autorizado permiten la ejecución remota de código.

    • CVE-2024-51545 – Credenciales insuficientemente protegidas (CWE-522):

Las vulnerabilidades de enumeración de nombres de usuario permiten el acceso a funciones de adición, eliminación, modificación y lista de nombres de usuario a nivel de aplicación.

    • CVE-2024-51548 – Subida sin restricciones de ficheros de tipos peligrosos (CWE-434):

Las vulnerabilidades de carga de archivos peligrosos permiten la carga de scripts maliciosos.

    • CVE-2024-51549 – Salto de directorio absoluto (CWE-434):

Las vulnerabilidades de Absolute File Traversal permiten el acceso y la modificación de recursos no deseados.

    • CVE-2024-51550 –Incorrecta validación de entrada de tipo específica (CWE-1287):

Las vulnerabilidades de validación y desinfección de datos en Linux permiten que se inyecten datos no validados ni desinfectados en un dispositivo Aspect.

    • CVE-2024-51551 – Uso de credenciales por defecto (CWE-1392):

Las vulnerabilidades de credenciales predeterminadas en ASPECT en Linux permiten el acceso al producto mediante credenciales predeterminadas disponibles públicamente.

    • CVE-2024-51554 – Off by One Error (CWE-193):

Una vulnerabilidad de tipo Off by One Error permite que se dé una condición de fuera de rango de un array en un script de log.

    • CVE-2024-51555 – Uso de contraseñas por defecto (CWE-1393):

Las vulnerabilidades de credenciales predeterminadas permiten el acceso a un dispositivo Aspect utilizando credenciales predeterminadas disponibles públicamente, ya que el sistema no requiere que el instalador cambie las credenciales predeterminadas.

    • CVE-2024-11317 – Fijación de sesión (CWE-384):

Las vulnerabilidades de fijación de sesión permiten a un atacante fijar el identificador de sesión de un usuario antes de iniciar sesión, lo que brinda la oportunidad de tomar el control de la sesión en un producto.

Los siguientes productos están afectados:

    • ABB NEXUS Series: NEXUS-3-x;
    • ABB NEXUS Series: NEX-2x;
    • ABB ASPECT-Enterprise: ASP-ENT-x;
    • ABB MATRIX Series: MAT-x;
    • ABB ASPECT-Enterprise: ASP-ENT-x;
    • Toda la serie de productos AC500 V3 (PM5xxx).

La relación de versiones afectadas puede consultarse en las referencias.

Recomendaciones

ABB ha lanzado soluciones y mitigaciones específicas que los usuarios pueden aplicar para reducir el riesgo de las vulnerabilidades. ABB recomienda a sus clientes que apliquen las distintas actualizaciones lo antes posible.

Para más información acerca de las versiones correctores, consultar los avisos incluidos en las referencias.

Referencias

[1] ICSA-24-352-03: Rockwell Automation PowerMonitor 1000 Remote

[2] SD1714: PowerMonitor 1000 Remote Code Execution and denial-of-service Vulnerabilities via HTTP protocol

Publicado el

[SCI] Inyección de comandos en productos Moxa

Introducción

El investigador, Lars Haulin, ha reportado 2 vulnerabilidades que afectan a múltiples dispositivos Moxa como pueden ser enrutadores y de seguridad de red, siendo una de ellas de severidad crítica. La explotación de esta vulnerabilidades podría permitir a un atacante inyectar comandos del sistema operativo.[1]

Análisis

La vulnerabilidad crítica encontrada es la siguiente:

    • CVE-2024-9140 – Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)  (CWE-78):
      Esta vulnerabilidad permite la inyección de comandos del sistema operativo debido a comandos restringidos incorrectamente, lo que potencialmente permite a los atacantes ejecutar código arbitrario. Esto representa un riesgo significativo para la seguridad y la funcionalidad del sistema.

Las siguientes versiones de firmware y anteriores se ven afectadas, para cada conjunto de productos:

    • 1.0.5:
      • NAT-102.
    • 3.13.1:
      • EDR-8010;
      • EDR-G9004;
      • EDR-G9010;
      • EDF-G1002-BP.
    • 3.13:
      • OnCell G4302-LTE4;
      • TN-4900.

Recomendaciones

  • Actualizar el firmwarea las versiones 3.14 o posteriores para los productos:
    • EDR-8010;
    • EDR-G9004;
    • EDR-G9010;
    • EDF-G1002-BP.
  • No se dispone de parche de firmware oficial para el producto NAT-102, se recomienda consultar la sección de mitigaciones de la página web incluida en referencias.
  • Contactar con el soporte técnico de Moxa para obtener el parche de seguridad en los productos:
    • OnCell G4302-LTE4;
    • TN-4900.

Referencias

[1] Privilege Escalation and OS Command Injection Vulnerabilities in Cellular Routers, Secure Routers, and Network Security Appliances

Publicado el

[SCI] Múltiples vulnerabilidades en Power Monitor 1000 de Rockwell Automation

Introducción

Vera Mens, de Claroty Research – Team82, ha reportado 3 vulnerabilidades de severidad crítica, cuya explotación podría permitir a un atacante realizar operaciones de edición, crear usuarios administradores, realizar un restablecimiento de fábrica, ejecutar código arbitrario o causar una condición de denegación de servicio.[1]

Análisis

Las vulnerabilidades críticas encontradas son las siguientes[2]:

    • CVE-2024-12371 – Ausencia de autenticación para una función crítica  (CWE-306):
      Existe una vulnerabilidad de apropiación de dispositivos en Rockwell Automation Power Monitor 1000. Esta vulnerabilidad permite la configuración de un nuevo usuario titular de la póliza sin ninguna autenticación a través de API. El usuario titular de la póliza es el usuario con más privilegios que puede realizar operaciones de edición, crear usuarios administradores y realizar restablecimientos de fábrica.
    • CVE-2024-12372 – Control incorrecto de generación de código (Inyección de código) (CWE-94):
      Existe una vulnerabilidad de denegación de servicio y posible ejecución remota de código en Rockwell Automation Power Monitor 1000. La vulnerabilidad provoca la corrupción de la memoria del montón, lo que puede comprometer la integridad del sistema y permitir potencialmente la ejecución remota de código o un ataque de denegación de servicio.
    • CVE-2024-12373 – Copia de búfer sin comprobación del tamaño de entrada (Desbordamiento de búfer clásico) (CWE-94):
      Existe una vulnerabilidad de denegación de servicio en Rockwell Automation Power Monitor 1000. La vulnerabilidad genera un desbordamiento de búfer, lo que potencialmente causa una denegación de servicio.

La serie de productos afectados es:

    • PM1k 1408-BC3A-485: versiones anteriores a la 4.020;
    • PM1k 1408-BC3A-ENT: versiones anteriores a la 4.020;
    • PM1k 1408-TS3A-485: versiones anteriores a la 4.020;
    • PM1k 1408-TS3A-ENT: versiones anteriores a la 4.020;
    • PM1k 1408-EM3A-485: versiones anteriores a la 4.020;
    • PM1k 1408-EM3A-ENT: versiones anteriores a la 4.020;
    • PM1k 1408-TR1A-485: versiones anteriores a la 4.020;
    • PM1k 1408-TR2A-485: versiones anteriores a la 4.020;
    • PM1k 1408-EM1A-485: versiones anteriores a la 4.020;
    • PM1k 1408-EM2A-485: versiones anteriores a la 4.020;
    • PM1k 1408-TR1A-ENT: versiones anteriores a la 4.020;
    • PM1k 1408-TR2A-ENT: versiones anteriores a la 4.020;
    • PM1k 1408-EM1A-ENT: versiones anteriores a la 4.020;

Recomendaciones

Rockwell Automation ha corregido las vulnerabilidades reportadas en la versión de firmware 4.020, y recomienda a los usuarios actualizar a la última versión disponible.

Referencias

[1] ICSA-24-352-03: Rockwell Automation PowerMonitor 1000 Remote
[2] SD1714: PowerMonitor 1000 Remote Code Execution and denial-of-service Vulnerabilities via HTTP protocol