Posted on by Industriales CSIRT-CV

[SCI] Múltiples vulnerabilitats en Power Monitor 1000 de Rockwell Automation

Introducció

Vera Mens, de Claroty Research – Team82, ha reportat 3 vulnerabilitats de severitat crítica, l’explotació de la qual podria permetre a un atacant realitzar operacions d’edició, crear usuaris administradors, realitzar un restabliment de fàbrica, executar codi arbitrari o causar una condició de denegació de servici.[1]

Anàlisi

Las vulnerabilidades críticas encontradas son las siguientes[2]:

    • CVE-2024-12371 – Absència d’autenticació per a una funció crítica (CWE-306):
      Existix una vulnerabilitat d’apropiació de dispositius en Rockwell Automation Power Monitor 1000. Esta vulnerabilitat permet la configuració d’un nou usuari titular de la pòlissa sense cap autenticació a través de API. L’usuari titular de la pòlissa és l’usuari amb més privilegis que pot realitzar operacions d’edició, crear usuaris administradors i realitzar restabliments de fàbrica.
    • CVE-2024-12372 – Control incorrecte de generació de codi (Injecció de codi) (CWE-94):
      Existix una vulnerabilitat de denegació de servici i possible execució remota de codi en Rockwell Automation Power Monitor 1000. La vulnerabilitat provoca la corrupció de la memòria del munt, la qual cosa pot comprometre la integritat del sistema i permetre potencialment l’execució remota de codi o un atac de denegació de servici.
    • CVE-2024-12373 – Còpia de búfer sense comprovació de la grandària d’entrada (Desbordament de búfer clàssic) (CWE-94):
      Existix una vulnerabilitat de denegació de servici en Rockwell Automation Power Monitor 1000. La vulnerabilitat genera un desbordament de búfer, la qual cosa potencialment causa una denegació de servici.

La serie de productos afectados es:

    • PM1k 1408-BC3A-485: versions anteriors a la 4.020;
    • PM1k 1408-BC3A-ENT: versions anteriors a la 4.020;
    • PM1k 1408-TS3A-485: versions anteriors a la 4.020;
    • PM1k 1408-TS3A-ENT: versions anteriors a la 4.020;
    • PM1k 1408-EM3A-485: versions anteriors a la 4.020;
    • PM1k 1408-EM3A-ENT: versions anteriors a la 4.020;
    • PM1k 1408-TR1A-485: versions anteriors a la 4.020;
    • PM1k 1408-TR2A-485: versions anteriors a la 4.020;
    • PM1k 1408-EM1A-485: versions anteriors a la 4.020;
    • PM1k 1408-EM2A-485: versions anteriors a la 4.020;
    • PM1k 1408-TR1A-ENT: versions anteriors a la 4.020;
    • PM1k 1408-TR2A-ENT: versions anteriors a la 4.020;
    • PM1k 1408-EM1A-ENT: versions anteriors a la 4.020;

Recomanacions

Rockwell Automation ha corregit les vulnerabilitats reportades en la versió de firmware 4.020, i recomana als usuaris actualitzar a l’última versió disponible.

Referències

[1] ICSA-24-352-03: Rockwell Automation PowerMonitor 1000 Remote
[2] SD1714: PowerMonitor 1000 Remote Code Execution and denial-of-service Vulnerabilities via HTTP protocol