Autor: Industriales CSIRT-CV

Introducción

Tomer Goldschmidt, de Claroty Research – Team82, ha informado sobre 3 vulnerabilidades en Planet WGS-804HPT: 2 de ellas de severidad crítica, que podrían provocar una ejecución remota de código o un bloqueo del programa.^[1]

Análisis

Las vulnerabilidades críticas encontradas son las siguientes:

• • CVE-2024-48871 – Desbordamiento de búfer basado en pila (CWE-121):
    El producto afectado es vulnerable a un desbordamiento de búfer basado en la pila. Un atacante no autenticado podría enviar una solicitud HTTP maliciosa para que el servidor web no compruebe correctamente el tamaño de entrada antes de copiar los datos a la pila, lo que podría permitir la ejecución remota de código.
  • CVE-2024-52320 – Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo) (CWE-78):
    El producto afectado es vulnerable a una inyección de comandos. Un atacante no autenticado podría enviar comandos a través de una solicitud HTTP maliciosa que podría provocar la ejecución remota de código.

La serie de productos afectados es:

• • Planet WGS-804HPT: versión v1.305b210531

Recomendaciones

Actualizar a la versión 1.305b241111 o superior.

Referencias

[1] CISA-24-340-02 – Planet Technology Planet WGS-804HPT

Introducción

DJ Cole, investigador de Cisco, descubrió durante unas pruebas internas de seguridad una vulnerabilidad de severidad crítica que afecta a la interfaz web de gestión del software Cisco Unified Industrial Wireless para puntos de acceso Cisco Ultra-Reliable Wireless Backhaul (URWB).^[1]

Análisis

Las vulnerabilidades críticas encontradas son las siguientes:

• • CVE-2024-20418 – Neutralización indebida de elementos especiales utilizados en un comando (inyección de comandos)(CWE-77):
    Esta vulnerabilidad se origina por una validación incorrecta de la entrada a la interfaz web de gestión de URWB. Un atacante podría explotar esta vulnerabilidad enviando peticiones HTTP maliciosas a dicha interfaz, lo que podría permitir la ejecución de comandos arbitrarios con privilegios de root en el sistema operativo subyacente del dispositivo afectado.

La serie de productos afectados es:

Las versiones 17.15, 17.14 y anteriores de Cisco Unified Industrial Wireless Software están afectadas por esta vulnerabilidad.

Esta vulnerabilidad afecta a los siguientes productos Cisco si ejecutan una versión vulnerable y tienen habilitado el modo operativo URWB:

• • Puntos de acceso de alta resistencia Catalyst IW9165D,
  • Puntos de acceso y clientes inalámbricos ruguerizados Catalyst IW9165E,
  • Puntos de acceso de alta resistencia Catalyst IW9167E.

Recomendaciones

Actualizar Cisco Unified Industrial Wireless Software a la versión 17.15.1.

Referencias

[1] Cisco Unified Industrial Wireless Software for Ultra-Reliable Wireless Backhaul Access Point Command Injection Vulnerability

Introducción

Konstantin Lazarev, investigador de GreyNoise, ha publicado un análisis sobre 2 vulnerabilidades que afectan a cámaras PTZ del fabricante PTZOptics, las cuales están siendo explotadas activamente. Estas fueron detectadas con su herramienta de detección de amenazas basada en inteligencia artificial Sift.^[1]

La explotación de estas vulnerabilidades podría permitir a un atacante ejecutar código de forma remota o filtrar información del servidor web.^[2]

Análisis

Las vulnerabilidades críticas encontradas son las siguientes:

• • CVE-2024-8956 – Autenticación Incorrecta  (CWE-287):
    Las cámaras PTZOptics PT30X-SDI/NDI-xx anteriores al firmware 6.3.40 son vulnerables a un problema de autenticación insuficiente. La cámara no aplica correctamente la autenticación en /cgi-bin/param.cgi cuando se envían solicitudes sin un encabezado de autorización HTTP. El resultado es que un atacante remoto y no autenticado puede filtrar datos confidenciales, como nombres de usuario, hashes de contraseñas y detalles de configuración. Además, el atacante puede actualizar valores de configuración individuales o sobrescribir todo el archivo.^[3]
  • CVE-2024-8957 – Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)  (CWE-78):
    PTZOptics PT30X-SDI/NDI-xx anterior al firmware 6.3.40 es vulnerable a un problema de inyección de comandos del sistema operativo. La cámara no valida suficientemente el valor de configuración ntp_addr, lo que puede provocar la ejecución de comandos arbitrarios cuando se inicia ntp_client. Cuando se combina con CVE-2024-8956, un atacante remoto y no autenticado puede ejecutar comandos arbitrarios del sistema operativo en los dispositivos afectados.^[4]

La serie de productos afectados es:

• • PTZOptics PT30X-SDI, versiones anteriores a 6.3.40;
  • PTZOptics PT30X-NDI-xx-G2, versiones anteriores a 6.3.40;
  • otros equipos audiovisuales de marca blanca basados en el firmware de cámara PTZ de ValueHD Corporation, como dispositivos de Multicam Systems SAS o SMTAV Corporation

Recomendaciones

PTZOptics publicó actualizaciones de seguridad^[5] en septiembre, pero algunos modelos, como PT20X-NDI-G2 y PT12X-NDI-G2, no recibieron dichas actualizaciones de firmware por haber llegado al final de su vida útil (EoL).

Posteriormente, GreyNoise detectó 2 nuevos modelos, PT20X-SE-NDI-G3 y PT30X-SE-NDI-G3, también vulnerables y que tampoco recibieron actualización.

Referencias

[1] GreyNoise Intelligence Discovers Zero-Day Vulnerabilities in Live Streaming Cameras with the Help of AI
[2] CVE-2024-8956, CVE-2024-8957: How to Steal a 0-Day RCE (With a Little Help from an LLM)
[3] PTZOptics NDI and SDI Cameras /cgi-bin/param.cgi Insufficient Authentication
[4] PTZOptics NDI and SDI Cameras Configuration Command Injection
[5] Latest Firmware Files

Introducción

El investigador, Raphael Ruf de terreActive AG ha reportado a CISA, 3 vulnerabilidades siendo 2 de ellas de severidad crítica, que afectan a la línea de productos DDC4000. La explotación de estas vulnerabilidades podría provocar que un atacante consiguiera permisos de administrador absolutos en el sistema.^[1]

Análisis

Las vulnerabilidades críticas encontradas son las siguientes:

• • CVE-2024-41717 – Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)  (CWE-22):
    La serie DDC4000 de Kieback & Peter es vulnerable a una vulnerabilidad de path traversal, que puede permitir que un atacante no autenticado lea archivos en el sistema.
  • CVE-2024-43698 – Uso de credenciales débiles  (CWE-1391):
    La serie DDC4000 de Kieback & Peter utiliza credenciales débiles, lo que puede permitir que un atacante no autenticado obtenga derechos de administrador completos en el sistema.

La serie de productos afectados es:

• • DDC4100, versiones 1.7.4 y anteriores.
  • Versiones 1.12.14 y anteriores de los modelos:
    • DDC4002;
    • DDC4200;
    • DDC4200-L;
    • DDC4400.
  • Versiones 1.17.6 y anteriores de los modelos:
    • DDC4002e;
    • DDC4200e;
    • DDC4400e;
    • DDC4020e;
    • DDC4040e.

Recomendaciones

• • Los siguientes modelos han llegado al final de su vida, por lo que ya no reciben soporte:
    • DDC4100;
    • DDC4002;
    • DDC4200;
    • DDC4200-L;
  • Se recomienda a los usuarios actualizar los controladores y contactar con las oficinas locales de Kieback&Peter para actualizar el firmware de los sistemas a la versión 1.21.0 o posteriores en los siguientes modelos:
    • • DDC4002e;
      • DDC4200e;
      • DDC4400e;
      • DDC4020e;

Referencias

[1] ICSA-24-291-05 – Kieback&Peter DDC4000 Series