Autor: Industriales CSIRT-CV

Introducción

Rockwell Automation ha reportado nuevas vulnerabilidades, dos de ellas críticas, sobre sus productos Rockwell Automation Stratix 5800 y Stratix 5200 ^[1].

Análisis

Las vulnerabilidades de severidad crítica asociadas a los productos Rockwell afectados son las siguientes:

• • CVE-2023-20198:  Canal alternativo sin protección (CWE-420).

Rockwell Automation tiene conocimiento de la explotación activa de una vulnerabilidad previamente desconocida en la función de interfaz de usuario web del software Cisco IOS XE cuando se expone a Internet o a redes no confiables.

Esta vulnerabilidad permite que un atacante no autenticado y en remoto cree una cuenta en un sistema vulnerable con acceso de nivel de privilegio 15. El atacante podría potencialmente usar esta cuenta para ganar el control del sistema afectado.

• • CVE-2023-43208:  Neutralización incorrecta de elemento especiales usados en un comando ‘os’ (CWE-78).

Rockwell Automation tiene conocimiento de la explicación activa de una vulnerabilidad previamente desconocida en la función Web UI del software Cisco IOS XE cuando se expone a Internet o a redes no confiables.

Esta vulnerabilidad podría permitir a un atacante remoto autenticado inyectar comandos con los privilegios de root. Ésta se debe a una validación de entrada insuficiente.

Un atacante podría aprovecharse de esta vulnerabilidad enviando entradas falsificadas a la interfaz de usuario web. Una explotación exitosa podría permitir al atacante inyectar comandos al sistema operativo subyaciente con privilegios de root.

Productos afectados:

Las siguientes versiones de Stratix y el software Cisco IOS que contienen están afectadas:

• • • Stratix 5800 (corriendo el software Cisco IOS XE con la opción de Web UI activada): Todas las versiones.
    • Stratix 5200 (corriendo el software Cisco IOS XE con la opción de Web UI activada): Todas las versiones.

Recomendaciones

Rockwell Automation recomienda encarecidamente a los usuarios que sigan la guía para deshabilitar los servidores Stratix HTTP en todos los sistemas que se conectan a Internet.

• • • Para deshabilitar la función de servidor HTTP, usa el comando no ip http server o no ip http secure-server en el modo de configuración global. Si tanto el servidor HTTP como el servidor HTTPS están en uso, se requieren ambos comandos para desactivar la función Servidor HTTP.
    • Cisco Talos ha proporcionado Indicadores de Compromiso y reglas Snort que se pueden encontrar aquí ^[2].
    • Las listas de control de acceso deben estar habilitadas para permitir sólo a direcciones IP específicas acceder a la Interfaz Web del dispositivo. Las instrucciones detalladas sobre cómo crear la lista de control de acceso se encuentran en QA67053 ^[3].
    • Cuando se implementen controles de acceso para estos servicios, asegúrese de revisar los controles porque existe la posibilidad de que se interrumpan los servicios de producción.

Referencias

Introducción

Siemens ha reportado varias vulnerabilidades cuya explotación podría permitir a los atacantes ejecutar código arbitrario o causar una denegación de servicio ^[1].

Análisis

La vulnerabilidad de severidad crítica asociada a los productos Siemens COMOS afectados es la siguiente:

• • CVE-2023-24482:  Desbordamiento de buffer (CWE-120).

El servicio de validación de caché de COMOS es vulnerable a un desbordamiento de búfer basado en un gestor de excepciones estructurados. Esto podría permitir que un atacante ejecutase código arbitrario en el sistema o causara una denegación de servicio.

Productos afectados:

• • • COMOS V10.2: Todas las versiones.
    • COMOS V10.3.3.1: Versiones anteriores a V10.3.3.1.45
    • COMOS V10.3.3.2: Versiones anteriores a V10.3.3.2.33
    • COMOS V10.3.3.3: Versiones anteriores a V10.3.3.3.9
    • COMOS V10.3.3.4: Versiones anteriores a V10.3.3.4.6
    • COMOS V10.4.0.0: Versiones anteriores a V10.4.0.0.31
    • COMOS V10.4.1.0: Versiones anteriores a V10.4.1.0.32
    • COMOS V10.4.2.0: Versiones anteriores a V10.4.2.0.25

Recomendaciones

Siemens ha lanzado actualizaciones para los productos afectados y recomienda a los usuarios que actualicen a las últimas versiones ^[2]:

• • • COMOS V10.4.2.0: Actualizar a V10.4.2.0.25 o posterior.
    • COMOS V10.4.1.0: Actualizar a V10.4.1.0.32 o posterior.
    • COMOS V10.4.0.0: Actualizar a V10.4.0.0.31 o posterior.
    • COMOS V10.3.3.4: Actualizar a V10.3.3.4.6 o posterior.
    • COMOS V10.3.3.3: Actualizar a V10.3.3.3.9 o posterior.
    • COMOS V10.3.3.2: Actualizar a V10.3.3.2.33 o posterior.
    • COMOS V10.3.3.1: Actualizar a V10.3.3.1.45 o posterior.
    • COMOS V10.2: Actualmente no hay actualización.

Siemens ha identificado una solución para mitigar los riesgos: Habilitar la protección de sobreescritura de manejo de excepciones estructuradas (SEHOP) en el sistema operativo Windows donde está instalado COMOS para proteger contra la ejecución de código. Sin embargo, la aplicación seguiría siendo vulnerable a ataques de denegación de servicio.

Referencias

Introducción

Jim Reprogle reportó esta vulnerabilidad crítica a  Johnson Controls que podría permitir a un usuario no autorizado acceder a funciones de depuración que fueron expuestas accidentalmente.^[1]

Análisis

La vulnerabilidad de severidad crítica asociada a los productos Johnson Controls Quantum afectados es la siguiente:

• • CVE-2023-4804: Código de depuración activo (CWE-489).

Los productos de Johnson Controls podrían permitir que un usuario sin autorización accediese a funciones de depuración que se expusieran accidentalmente.

Productos afectados:

• • • Quantum HD Unity Compressor control panels (Q5): Todas las versiones anteriores a v11.22
    • Quantum HD Unity Compressor control panels (Q6): Todas las versiones anteriores a v12.22
    • Quantum HD Unity AcuAir control panels(Q5): Todas las versiones anteriores a v11.12
    • Quantum HD Unity AcuAir control panels(Q6): Todas las versiones anteriores a v12.12
    • Quantum HD Unity Condenser/Vessel control panels (Q5): Todas las versiones anteriores a v11.11
    • Quantum HD Unity Condenser/Vessel control panels (Q6): Todas las versiones anteriores a v12.11
    • Quantum HD Unity Evaporator control panels (Q5): Todas las versiones anteriores a v11.11
    • Quantum HD Unity Evaporator control panels (Q6): Todas las versiones anteriores a v12.11
    • Quantum HD Unity Engine Room control panels (Q5): Todas las versiones anteriores a v11.11
    • Quantum HD Unity Engine Room control panels (Q6): Todas las versiones anteriores a v12.11
    • Quantum HD Unity Interface control panels (Q5): Todas las versiones anteriores a v11.11
    • Quantum HD Unity Interface control panels (Q6): Todas las versiones anteriores a v12.11

Recomendaciones

Johnson Controls recomienda a los usuarios actualizar los productos a las últimas versiones:

• • Actualizar Quantum HD Unity Compressor control panels a la versión 11.22 (Q5) o 12.22 (Q6).
  • Actualizar Quantum HD Unity AcuAir control panels a la versión 11.12 (Q5) o 12.12 (Q6).
  • Actualizar Quantum HD Unity Condenser/Vessel control panels a la versión 11.11 (Q5) o 12.11 (Q6).
  • Actualizar Quantum HD Unity Evaporator control panels a la versión 11.11 (Q5) o 12.11 (Q6).
  • Actualizar Quantum HD Unity Engine Room control panels a la versión 11.11 (Q5) o 12.11 (Q6).
  • Actualizar Quantum HD Unity Interface control panels a la versión 11.11 (Q5) o 12.11 (Q6).

Referencias

Introducción

Rockwell Automation ha notificado una vulnerabilidad de severidad crítica que podría permitir a un atacante no autenticado obtener el control del sistema.^[1]

Análisis

Rockwell Automation ha informado de la explotación activa de una vulnerabilidad en la función de interfaz de usuario web del software Cisco IOS XE cuando se expone a Internet o a redes no confiables. Esta vulnerabilidad permite que un atacante remoto y no autenticado cree una cuenta en un sistema vulnerable con acceso de nivel de privilegio 15. El atacante podría entonces utilizar esa cuenta para obtener acceso a un sistema vulnerable y, por lo tanto, obtener el control del sistema afectado.

• • CVE-2023-20198: Un atacante remoto no autenticado podría obtener el control del sistema.

Productos afectados:

Las versiones afectadas de productos Stratix y su software Cisco IOS son las siguientes:

• • Stratix 5800 (Con el software Cisco IOS XE ejecutándose y con la Web UI activada): Todas las versiones.
  • Stratix 5200 (Con el software Cisco IOS XE ejecutándose y con la Web UI activada): Todas las versiones.

Recomendaciones

Rockwell Automation recomienda encarecidamente a los usuarios que sigan las directrices para deshabilitar los servidores Stratix HTTP en todos los sistemas con acceso a Internet.

• • Para desactivar la función Servidor HTTP, utilice el comando no ip http server o no ip http secure-server en el modo de configuración global. Si se están utilizando tanto el servidor HTTP como el servidor HTTPS, se necesitan ambos comandos para desactivar la función Servidor HTTP.
  • Al implementar controles de acceso para estos servicios, asegúrese de revisar los controles porque existe la posibilidad de una interrupción en los servicios de producción.
  • Cisco Talos ha proporcionado Indicadores de Compromiso y reglas de Snort que se pueden encontrar en el enlace adjunto.^[2]

Referencias