Categoría: Actualidad

CSIRT-CV cumple 17 años y para conmemorar su aniversario ha programado varias acciones entre las que destaca el lanzamiento de una campaña de concienciación, dirigida los ciudadanos, sobre la compra de entradas online titulada #FestivalesSinFraudes. Que tu única preocupación sea el outfit ¡Entradas sin estafa!

A partir del próximo lunes, 17 de junio, y hasta el día 30 del mismo mes, el centro de Ciberseguridad lanzará una serie de recomendaciones a través de sus perfiles de X y Facebook sobre la reventa de entradas en la red, ya que las estafas y fraudes asociados a esta práctica está bastante extendida y perjudica a miles de personas cada año.

¿Por qué hemos decidido hacer una campaña de concienciación sobre la venta online de entradas? Porque la temporada de festivales de música en la Comunitat Valenciana está a punto de comenzar y son muchos los que buscan a última hora una entrada de reventa en la red arriesgándose a los fraudes online. Gracias a los consejos que iremos proporcionando, podrás detectar los posibles timos o estafas y disfrutar al máximo de tu grupo o artista favorito.

Otra de las actividades previstas para esta celebración, es una formación sobre información clasificada dirigida al personal de la Dirección General de Tecnologías de la Información y Comunicaciones (DGTIC) y al equipo de CSIRT-CV. El objetivo es profundizar en los procedimientos y niveles de clasificación existentes en España (secreto, reservado, confidencial y difusión limitada) a la hora de calificar la información cuya finalidad es salvaguardar la información y datos sensibles de una organización.

Desde sus inicios, CSIRT-CV sigue trabajando y aunando esfuerzos para mantener un espacio ciberseguro en la Comunitat Valenciana, así como promoviendo una cultura de seguridad y buenas prácticas en el uso de las nuevas tecnologías para minimizar los incidentes informáticos.

Si quieres ser parte activa de la Ciberseguridad y convertirte en un auténtico «Firewall humano”, puedes consultar nuestros dos portales: CSIRT-CV y concienciaT; seguir nuestras redes sociales de Facebook y X, donde encontrarás información actual del sector o formarte a través de los cursos online gratuitos del CSIRT-CV.

Introducción

Una auditoría de software interna ha identificado 2 vulnerabilidades críticas que afectan a varios productos de ABB que emplean los sistemas KNX que aplican el estándar KNX Data Secure. Los sistemas KNX que operan en configuraciones KNX clásicas (modo simple) no están afectados.^[1]

Análisis

Las dos vulnerabilidades encontradas son:

• • • CVE-2024-4008 – Filtración de contraseñas por defecto en dispositivos KNX Secure (CWE-200):
      En caso de que uno de los dispositivos afectados sea instalado en un sistema KNX, un atacante podría enviar un mensaje modificado para conocer la Factory Default Setup Key (FDSK). Una vez que tuviese la clave, podría recolectar los paquetes enviados entre el dispositivo y el Engineering-Tool-Software (ETS), descifrarlos y de esta manera llegar a obtener el resto de las claves de la comunicación. Una vez que tiene estas claves en su poder puede usarlas para hacerse pasar por el dispositivo y mandar paquetes maliciosos en su nombre.
    • CVE-2024-4009 – Replay Attack en dispositivos KNX Secure:
      En caso de que uno de los dispositivos afectados tenga un fallo de alimentación en el canal BUS, un atacante podría capturar el último mensaje que el dispositivo envió, aumentar el número de secuencia y reenviar el último mensaje. Esto se debe a un error al almacenar el número de secuencia cuando hay un fallo de alimentación.

La serie de productos afectados es:

• • • 2TMA310010B0001: 2,4″ Display 55 (1.00 o inferiores)
    • 2TMA310011B0001: 2,4»’ Display 55 (1.00 o inferiores)
    • 2TMA310011B0002: 2,4» Display 63 (1.00 o inferiores)
    • 2TMA310010B0003: 2,4» Display 63 (1.00 o inferiores)
    • 2TMA310011B0003: RoomTouch 4” (1.00 o inferiores)
    • 2TMA310010B0004: RoomTouch 4″ (1.00 o inferiores)
    • 2TMA310010B0006: 2,4» Display 70 (1.00 o inferiores)
    • 2TMA310011B0004: 2,4» Display 70 (1.00 o inferiores)
    • 2TMA310010W0001: RoomTouch 4″ (1.00 o inferiores)
    • 2TMA310011W0001: RoomTouch 4″ (1.00 o inferiores)
    • 2CKA006120A0079: Bus Compaining Unit KNX (1.3.0.33 o inferiores)
    • 2CKA006120A0080: Bus Compaining Unit KNX (1.3.0.33 o inferiores)
    • 2CKA006120A0081: Bus Compaining Unit KNX (1.3.0.33 o inferiores)

Recomendaciones

Actualizar el software de los dispositivos listados a continuación:

• • Actualizar los siguientes productos a las versiones 1.02 o posteriores:
    • 2TMA310010B0001: 2,4″ Display 55;
    • 2TMA310011B0001: 2,4»’ Display 55
    • 2TMA310011B0002: 2,4» Display 63
    • 2TMA310010B0003: 2,4» Display 63
    • 2TMA310011B0003: RoomTouch 4”
    • 2TMA310010B0004: RoomTouch 4″
    • 2TMA310010B0006: 2,4» Display 70
    • 2TMA310011B0004: 2,4» Display 70
    • 2TMA310010W0001: RoomTouch 4”
    • 2TMA310011W0001: RoomTouch 4″
  • Actualizar Bus Compiling Unit KNX a las versiones 1.3.1_63 o posteriores:
    • 2CKA006120A0079: Bus Compaining Unit KNX
    • 2CKA006120A0080: Bus Compaining Unit KNX
    • 2CKA006120A0081: Bus Compaining Unit KNX

Referencias

• [1] KNX Secure Devices FDSK Leak and replay attack

Introducción

Se han reportado varias vulnerabilidades a AutomationDirect sobre sus PLCs que podrían llevar a la ejecución remota de código y a la denegación de servicio de los mismos.^[1]

Análisis

Se han publicado un total de 15 vulnerabilidades afectando a un total de 12 dispositivos. Las vulnerabilidades se explican a continuación:

• • CVE-2024-24851 – Acceso al buffer con longitud incorrecta (CWE-805):

Se ha localizado una vulnerabilidad de tipo “Heap-based buffer overflow” en el programa AutomationDirect P3-550E 1.2.10.9, más concretamente en la funcionalidad de Programming Software Connection FiBurn. Un atacante podría crear un paquete personalizado y enviarlo sin autenticación para generar un “buffer overflow”.

• • CVE-2024-24946 – Escritura fuera de los límites (CWE-787):

Se ha localizado una vulnerabilidad de tipo “length exceeded buffer overflow” en el programa AutomationDirect P3-550E 1.2.10.9, más concretamente en la funcionalidad de Programming Software Connection CurrDir. Un atacante podría crear un paquete personalizado y enviarlo sin autenticación para denegar el servicio.

• • CVE-2024-24947 – Escritura fuera de los límites (CWE-787):

Se ha localizado una vulnerabilidad de tipo “allocation failed buffer overflow” en el programa AutomationDirect P3-550E 1.2.10.9, más concretamente en la funcionalidad de Programming Software Connection CurrDir. Un atacante podría crear un paquete personalizado y enviarlo sin autenticación para denegar el servicio.

• • CVE-2024-24954, CVE-2024-24955, CVE-2024-24956, CVE-2024-24957, CVE-2024-24958, CVE-2024-24959 – Escritura fuera de los límites (CWE-787):

Se han localizado varias vulnerabilidades de tipo “null byte write” en el programa AutomationDirect P3-550E 1.2.10.9, más concretamente en la funcionalidad de Programming Software Filesystem API. Un atacante podría crear un paquete malicioso y enviarlo para corromper la pila del proceso.

• • CVE-2024-24962, CVE-2024-24963 – “Stack-Based Buffer Overflow” (CWE-121):

Se han localizado varias vulnerabilidades de tipo “stack-based buffer overflow” en el programa AutomationDirect P3-550E 1.2.10.9, más concretamente en la funcionalidad de Programming Software Connection FileSelect. Un atacante podría crear un paquete personalizado y enviarlo sin autenticación para generar un buffer overflow.

• • CVE-2024-22187 – Acceso impropio a control del programa (CWE-284):

Se ha localizado una vulnerabilidad de tipo “write-what-where” en el programa AutomationDirect P3-550E 1.2.10.9, más concretamente en la funcionalidad de Programming Software Connection Remote Memory Diagnostics. Un atacante podría crear un paquete personalizado y enviarlo sin autenticación para escribir en direcciones de memoria aleatorias.

• • CVE-2024-23315 – Acceso impropio a control del programa (CWE-284):

Se ha localizado una vulnerabilidad de tipo “read-what-where” en el programa AutomationDirect P3-550E 1.2.10.9, más concretamente en la funcionalidad de Programming Software Connection IMM 01ª1 Memory Read. Un atacante podría crear un paquete personalizado y enviarlo sin autenticación para extraer información sensible.

• • CVE-2024-21785 – “Active Debug Code” (CWE-489):

Se han localizado restos de código de depuración en el programa AutomationDirect P3-550E 1.2.10.9, más concretamente en la funcionalidad de Telnet Diagnostic Interface. Un atacante podría enviar una secuencia de paquetes modificados para lograr acceso no autorizado.

• • CVE-2024-23601 – Verificación de autenticidad de los datos insuficiente (CWE-345):

Se ha localizado una vulnerabilidad de tipo inyección de código en el programa AutomationDirect P3-550E 1.2.10.9, más concretamente en la librería scan_lib.bin. Un atacante podría introducir un fichero malicioso para lograr la ejecución de código arbitrario.

La serie de productos afectados es:

• • Productivity 3000 P3-550E CPU: FW 1.2.10.9
  • Productivity 3000 P3-550E CPU: SW 4.1.1.10
  • Productivity 3000 P3-550 CPU: FW 1.2.10.9
  • Productivity 3000 P3-550 CPU: SW 4.1.1.10
  • Productivity 3000 P3-530 CPU: FW 1.2.10.9
  • Productivity 3000 P3-530 CPU: SW 4.1.1.10
  • Productivity 2000 P2-550 CPU: FW 1.2.10.10
  • Productivity 2000 P2-550 CPU: SW 4.1.1.10
  • Productivity 1000 P1-550 CPU: FW 1.2.10.10
  • Productivity 1000 P1-550 CPU: SW 4.1.1.10
  • Productivity 1000 P1-540 CPU: FW 1.2.10.10
  • Productivity 1000 P1-540 CPU: SW 4.1.1.10

Recomendaciones

AutomationDirect recomienda los siguientes pasos:

• • Actualizar el entorno de programación Productivity Suite a la versión 4.2.0.x o posterior.
  • Actualizar el firmware de los Productivity PLC a la última versión.

  Referencias

  [1] ICSA-24-144-01 – AutomationDirect Productivity PLCs