Publicado el

[SCI] Vulnerabilidad en el mecanismo de recuperación de credenciales en productos de IFM

Introducción

La empresa IFM ha recibido un reporte, del investigador Aimon Dawson, sobre una vulnerabilidad crítica de mecanismo débil de recuperación de contraseñas que afecta a los dispositivos QHA200 y QHA210. El fabricante ha remitido el reporte al CERT@VDE [1].

Análisis

Los dispositivos hardware QHA200 y QHA210 de IFM podrían permitir que un atacante remoto no autenticado reseteara la contraseña de administrador en el servidor dedicado (appliance) Moneo.

Para explotar esta vulnerabilidad, el atacante solo necesitaría proveer el número de serie, con el objetivo de reiniciar las credenciales de administrador.

La vulnerabilidad de severidad crítica asociada al producto afectado es la siguiente:

    • CVE-2022-3485. CWE-640: Mecanismo de recuperación de contraseña débil para contraseña olvidada.
      El software contiene un mecanismo para que los usuarios recuperen o cambien sus contraseñas sin conocer la contraseña original, pero el mecanismo es débil. Un atacante remoto podría explotar esta vulnerabilidad para resetear la contraseña de administrador.

Recursos afectados:
Versiones 1.9.3 y anteriores de:

    • Moneo appliance QHA200.
    • Moneo appliance QHA210.

Recomendaciones

El fabricante informa de que en una futura versión la vulnerabilidad será solucionada. El CERT@VDE ha publicado la siguiente serie de medidas de mitigación:

    • Cuando utilice componentes de automatización, asegúrese de que no pueda producirse ningún acceso no autorizado.
    • Además, deben tomarse medidas para garantizar que los componentes no tengan acceso directo a recursos de Internet y que no se pueda acceder a ellos desde redes inseguras.
    • Utilice las medidas de seguridad disponibles, como los grupos de autenticación y autorización.

Referencias

[1] VDE-2022-050 IFM: weak password recovery vulnerability in moneo appliance

Publicado el

[SCI] Múltiples vulnerabilidades en RCC de Horner Automation

Introducción

M1etz, a través del CERT-Bund[1], ha reportado tres vulnerabilidades, una de ellas de severidad crítica que podrían permitir a un atacante obtener credenciales y posteriormente control completo del dispositivo afectado.

 

Análisis

Las vulnerabilidades de severidad alta y crítica afectan al Remote Compact Controller (RCC) 972 con versiones de firmware 15.40 y anteriores.

CVE-2022-2640: Los archivos de configuración del RCC están cifrados con encriptación XOR débil vulnerable a la ingeniería inversa. Esto podría permitir que un atacante obtenga credenciales para ejecutar servicios como el Protocolo de transferencia de archivos (FTP) y el Protocolo de transferencia de hipertexto (HTTP).

CVE-2022-2641: La explotación de esta vulnerabilidad de severidad crítica podría permitir que un atacante realice cambios no autorizados en el dispositivo, ejecute código arbitrario de forma remota o provoque una condición de denegación de servicio.

CVE-2022-2642: La versión 15.40 del firmware RCC 972 de Horner Automation contiene variables globales. Esto podría permitir que un atacante lea valores confidenciales y claves variables del dispositivo. Se ha asignado una puntuación en base CVSS v3 de 7,5.

 

Recomendaciones

Horner Automation recomienda que los usuarios actualicen RCC 972 a la versión de firmware 15.60 o posterior[2]

 

Referencias

[1] ICS Advisory (ICSA-22-335-02) – Horner Automation Remote Compact Controller Original release date: December 01, 2022

[2] Controller Firmaware Horner Automation Remote

Publicado el

[SCI] Múltiples vulnerabilidades en productos de Festo

Introducción

La empresa de automatización alemana Festo fue informada por los investigadores Daniel dos Santos y Rob Hulsebos de Forescout de varias vulnerabilidades, dos de ellas críticas, sobre un posible acceso sin autenticación que permitiría el uso de protocolos no documentados y el acceso a archivos de configuración.

Análisis

Las dos vulnerabilidades de severidad crítica asociadas a todas las versiones de los productos afectados son las siguientes:

CVE-2022-31806 [1]: Inicialización insegura por defecto del recurso (CWE-1188)
La protección por contraseña no está activada por defecto y no hay información o aviso para activar la protección por contraseña en el inicio de sesión en caso de que no se establezca una contraseña en el controlador

CVE-2022-3270 [2]: Documentación técnica insuficiente (CWE-1059)
El producto no contiene suficiente documentación técnica o de ingeniería (ya sea en papel o en formato electrónico) que contenga descripciones de todos los elementos de software/hardware relevantes del producto, como su uso, estructura, componentes arquitectónicos, interfaces, diseño, implementación, configuración, funcionamiento, etc.

En varios productos de Festo, un atacante remoto no autentificado podría utilizar funciones de protocolos no documentados que podrían conducir a una pérdida completa de la confidencialidad, integridad y disponibilidad.

Todas las versiones de los productos mencionados a continuación:

      • Sistemas de cámara.
      • Interfaces Ethernet/IP.
      • Pasarelas.
      • Controladores de motores.
      • Servoaccionamientos.
      • Sistemas de visión.
      • Bloques de control.
      • Controladores.
      • Unidades de operadores.
      • Módulos de bus.
      • Nodos de bus.
      • Unidades integradas.
      • Unidades de operadores.
      • Planar surface gantry.

Los modelos específicos de cada producto se pueden consultar en los enlaces de las referencias.

Recomendaciones

Para CVE-2022-31806:

    • Habilitar la protección por contraseña en el inicio de sesión en caso de que no se haya establecido ninguna contraseña en el controlador. Tenga en cuenta que el archivo de configuración de la contraseña no está cubierto a través del mecanismo de copia de seguridad y restauración de FFT por defecto, debe seleccionar el archivo relacionado manualmente.

Para CVE-2022-3270 se informa de que Festo actualizará la documentación del manual técnico del usuario en la próxima versión del producto. Así que adicionalmente se aconseja:

    • Los usuarios que ejecuten la comunicación a través de una red no fiable y que necesiten una protección total deben cambiar a una solución alternativa, como ejecutar la comunicación a través de una VPN.
    • Festo recomienda encarecidamente minimizar y proteger el acceso a la red de los dispositivos conectados con técnicas y procesos de última generación. Para un funcionamiento seguro, siga las recomendaciones de los manuales de los productos y tenga en cuenta los protocolos y sus funciones compatibles en la ayuda en línea de Festo Field Device Tool o Festo Automation Suite.
    • Como parte de una estrategia de seguridad, Festo recomienda las siguientes medidas generales de defensa para reducir el riesgo de exploits:
        • Utilizar los controladores y dispositivos sólo en un entorno protegido para minimizar la exposición a la red y garantizar que no sean accesibles desde el exterior.
        • Utilice cortafuegos para proteger y separar la red del sistema de control de otras redes.
        • Utilizar túneles VPN (redes privadas virtuales) si se requiere acceso remoto.
        • Activar y aplicar funciones de gestión de usuarios y contraseñas.
        • Utilizar enlaces de comunicación encriptados.
        • Limitar el acceso al sistema de desarrollo y al de control por medios físicos, características del sistema operativo, etc.
        • Proteger tanto el sistema de desarrollo como el de control utilizando soluciones de detección de virus actualizadas.

Referencias

[1] Festo: Multiple Festo products contain an unsafe default Codesys configuration

[2] Festo: Incomplete documentation of remote accessible functions and protocols in Festo products

Publicado el

[SCI] Vulnerabilidades en firmware BMC afectan a dispositivos OT-IoT

Introducción

Investigadores de Nozomi Networks Labs[1] han encontrado múltiples vulnerabilidades en los controladores de gestión de la placa base de dispositivos IoT BMC de Lanner Inc.[2] basados ​​en el MegaRAC SP-X, de American Megatrends (AMI).

 

Análisis

Se han descubierto 13 vulnerabilidades, dos de las cuales permiten ser concatenadas y pasar de un control de autenticación fallido a la ejecución remota de código (RCE). El proceso se detalla a continuación:

CVE-2021-44467: Al inicio de sesión, la app web lanza un mensaje al usuario preguntando si desea terminar cualquier otra sesión activa. A pesar de que esta petición POST contiene una cookie QSESSIONID, la función que se encarga de llevar a cabo el proceso no realiza ninguna verificación de la sesión del usuario, por lo que un atacante podría terminar las sesiones de otros usuarios de manera aleatoria, provocando un ataque DoS.

CVE-2021-26728: El segundo fallo de seguridad está relacionado con la  implementación de las funciones que trabajan con los datos del parámetro «username», controlado por el usuario. Debido a que no se realiza una comprobación del tamaño de los datos que se le pasan y que éstos son transmitidos posteriormente a «safe_system» que, a pesar de su nombre, no implementa un procedimiento seguro, se puede conseguir ejecución remota de código con privilegios root, ya que todos los procesos se ejecutan con los privilegios de dicho usuario.

 

Recomendaciones

Se recomienda contactar con el servicio de soporte técnico, ya que la resolución de los fallos de seguridad dependen de las versiones del firmware BMC.

 

Referencias

[1] Nozominetworks.com/blog/vulnerabilities-in-bmc-firmware
[2] Una al día Hispasec
[3] Security week