Categoría: Actualidad

Introducción

Hitachi Energy^[1] ha reportado 2 vulnerabilidades críticas y 6 vulnerabilidades de severidad alta, cuya explotación podría permitir a un atacante obtener credenciales de acceso de usuario de la interfaz web de MSM, así como causar una condición de denegación de servicio.

 

Análisis

Las vulnerabilidades críticas afectan a la versión 2.2.5 y anteriores del Modular Switchgear Monitoring (MSM):

CVE-2021-43298: Vulnerabilidad de severidad crítica que podría permitir a un atacante de red no autenticado forzar la contraseña básica HTTP byte a byte , registrando el tiempo de respuesta del servidor web hasta la respuesta no autorizada.

CVE-2021-41615: Vulnerabilidad de severidad crítica que consiste en una entropía insuficiente debido a que el cálculo no sigue la directriz de datos secretos para la autenticación de acceso HTTP.

 

Recomendaciones

Hitachi Energy recomienda a los usuarios afectados desconectar el dispositivo de cualquier red conectada a Internet.

A su vez, sugiere adoptar un software de gestión de acceso de usuarios y de protección antivirus equipado con las últimas reglas de firma en los hosts que tengan instalada la aplicación vulnerable.

 

Referencias

[1] Hitachi Energy MSM

Introducción

Rockwell Automation^[1] y Simon Janz de Zero Day Initiative, han informado a CISA^[2] la existencia de 7 vulnerabilidades. 3 de severidad crítica y 4 de severidad alta, que podrían crear una condición de denegación de servicio, permitir que un usuario malintencionado ejecute código arbitrario no autorizado en el software mediante un desbordamiento del búfer de memoria o permitir a un atacante acceso no autorizado a la información.

 

Análisis

Las vulnerabilidades críticas se describen a continuación:

CVE-2023-1834 : Los dispositivos Kinetix 5500 de Rockwell Automation fabricados entre mayo de 2022 y enero de 2023 con la versión 7.13 tienen puertos telnet y de protocolo de transferencia de archivos (FTP) abiertos de forma predeterminada. Esto podría permitir que un atacante acceda al dispositivo. Se ha asignado una puntuación base CVSS v3 de 9.4

CVE-2020-36177: El producto afectado es PanelView 800-2711R-T4T, 800-2711R-T7T, 800-2711R-T10T: Versiones desde la 5.011 a la 8.01, vulnerable a una escritura fuera de los límites, lo que podría permitir a un atacante lograr un desbordamiento del búfer si el usuario tiene habilitada la función de correo electrónico en el archivo de proyecto que utiliza WolfSSL. Esta función esta desactivada por defecto. Se ha asignado una puntuación base CVSS v3 de 9.8

CVE-2019-16748 : El producto afectado es PanelView 800-2711R-T4T, 800-2711R-T7T, 800-2711R-T10T: Versiones desde la 5.011 a la 8.01, vulnerable a una lectura fuera de los límites, lo que podría permitir a un atacante lograr un desbordamiento del búfer si el usuario tiene habilitada la función de correo electrónico en el archivo de proyecto que utiliza WolfSSL. Esta función esta desactivada por defecto. Se ha asignado una puntuación base CVSS v3 de 9.8

 

Recomendaciones

Para dispositivos Kinetix 5500 se recomienda actualizar el firmware a la versión 7.14 o posterior. Para los productos PanelView afectados: actualizar a la versión v8.011 y asegurarse de que la función de correo electrónico esté deshabilitada.

 

Referencias

[1] Rockwell Automation Kinetix 5500
[2] Rockwell Automation PanelView 800

Introducción

Uri Katz, de Claroty,^[1] ha reportado 7 vulnerabilidades al CISA^[2]: 2 de severidad crítica, 1 alta y 4 medias, que podrían permitir a un atacante la ejecución remota de código.

 

Análisis

Las explotaciones exitosas de estas vulnerabilidades podrían permitir a los atacantes apagar servidores y otros equipos de red alojados en centros de datos que normalmente cuentan con la alimentación de una PDU. Las vulnerabilidades afectan a todas las versiones anteriores a la 1.42.06162022 del Dataprobe iBoot-PDU FW,

CVE-2022-3183: vulnerabilidad crítica, una función específica no sanea la entrada proporcionada por el usuario, lo que podría permitir a un atacante la inyección de comandos del sistema operativo (CWE-78)

CVE-2022-3184: El firmware existente podría permitir a un atacante, no autenticado, escribir un archivo en el directorio webroot, mediante el acceso a una página PHP antigua, vulnerable al cruce de directorios (CWE-22).

 

Recomendaciones

Se recomienda actualizar a la versión 1.43.03312023 .
El fabricante también recomienda deshabilitar SNMP cuando no se necesite.

 

Referencias

[1] Claroty
[2] CISA 22-263-03

Introducción

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA)^[1] de EE.UU. ha publicado un aviso sobre sistemas de control industrial acerca de una vulnerabilidad crítica que afecta a las unidades terminales remotas ME RTU del fabricante INEA^[2]

 

Análisis

Las versiones del firmware INEA ME RTU anteriores a la 3.36 son vulnerables a la inyección de comandos del sistema operativo, lo que podría permitir a un atacante ejecutar código arbitrario de forma remota, se ha asignado el identificador CVE-2023-2131 para esta vulnerabilidad.

 

Recomendaciones

Actualice a la versión 3.36 o posterior del firmware INEA ME RTU

Además, CISA recomienda a los usuarios tomar medidas defensivas para minimizar el riesgo de explotación de esta vulnerabilidad. Específicamente, los usuarios deberían:

• • Minimizar la exposición a la red de todos los dispositivos y/o sistemas del sistema de control, y asegurarse de que no son accesibles desde Internet.
  • Ubicar las redes del sistema de control y los dispositivos remotos detrás de cortafuegos y aislarlos de las redes empresariales.
  • Cuando se requiera acceso remoto, utilice métodos seguros, como redes privadas virtuales (VPN), reconociendo que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. Reconozca también que una VPN es tan segura como sus dispositivos conectados.

 

Referencias

[1] cisa-23-110-01
[2] ME RTU INEA