[SCI] Múltiples vulnerabilidades en productos ABB

Introducción

Varios investigadores han reportado un total de 31 vulnerabilidades que afectan a varios productos ABB siendo 16 de ellas de severidad crítica.[1]  La explotación de estas vulnerabilidades podría permitir a un atacante interrumpir las operaciones o ejecutar código remoto.[2]

Análisis

Las vulnerabilidades críticas encontradas son las siguientes:

    • CVE-2024-6209 – Acceso externo a archivos y directorios (CWE-552):

Acceso no autorizado a archivos en WEB Server permite a un atacante acceder a archivos no autorizados.

    • CVE-2024-6298 – Incorrecta validación de entrada de tipo específica (CWE-1287):

Vulnerabilidad de validación de entrada incorrecta en ABB ASPECT-Enterprise en Linux, ABB NEXUS Series en Linux, ABB MATRIX Series en Linux permite la inclusión remota de código.

    • CVE-2024-6515 – Transmisión de información sensible en texto claro (CWE-319):

La interfaz del navegador web puede manipular el nombre de usuario y la contraseña de la aplicación en texto simple o codificación Base64, lo que aumenta la probabilidad de exposición no deseada de credenciales.

    • CVE-2024-6516 – Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting) (CWE-79):

Se encontraron vulnerabilidades de cross site scripting que permitían la inyección de scripts maliciosas en el navegador de un cliente.

    • CVE-2024-6784 – Falsificación de solicitud en servidor (SSRF) (CWE-918):

Se encontraron vulnerabilidades de Server-Side Request Forgery que brindan la posibilidad de acceder a recursos no autorizados y divulgar información no deseada.

    • CVE-2024-48845 – Requerimientos débiles para la creación de contraseñas (CWE-521):

Se encontraron vulnerabilidades en las reglas de restablecimiento de contraseñas débiles que brindan la posibilidad de almacenar contraseñas débiles que podrían facilitar el acceso no autorizado a aplicaciones o administradores.

    • CVE-2024-48839 – Control incorrecto de generación de código (CWE-94):

La vulnerabilidad de validación de entrada incorrecta permite la ejecución remota de código.

    • CVE-2024-48840 – Control incorrecto de generación de código (CWE-94):

Las vulnerabilidades de acceso no autorizado permiten la ejecución remota de código.

    • CVE-2024-51545 – Credenciales insuficientemente protegidas (CWE-522):

Las vulnerabilidades de enumeración de nombres de usuario permiten el acceso a funciones de adición, eliminación, modificación y lista de nombres de usuario a nivel de aplicación.

    • CVE-2024-51548 – Subida sin restricciones de ficheros de tipos peligrosos (CWE-434):

Las vulnerabilidades de carga de archivos peligrosos permiten la carga de scripts maliciosos.

    • CVE-2024-51549 – Salto de directorio absoluto (CWE-434):

Las vulnerabilidades de Absolute File Traversal permiten el acceso y la modificación de recursos no deseados.

    • CVE-2024-51550 –Incorrecta validación de entrada de tipo específica (CWE-1287):

Las vulnerabilidades de validación y desinfección de datos en Linux permiten que se inyecten datos no validados ni desinfectados en un dispositivo Aspect.

    • CVE-2024-51551 – Uso de credenciales por defecto (CWE-1392):

Las vulnerabilidades de credenciales predeterminadas en ASPECT en Linux permiten el acceso al producto mediante credenciales predeterminadas disponibles públicamente.

    • CVE-2024-51554 – Off by One Error (CWE-193):

Una vulnerabilidad de tipo Off by One Error permite que se dé una condición de fuera de rango de un array en un script de log.

    • CVE-2024-51555 – Uso de contraseñas por defecto (CWE-1393):

Las vulnerabilidades de credenciales predeterminadas permiten el acceso a un dispositivo Aspect utilizando credenciales predeterminadas disponibles públicamente, ya que el sistema no requiere que el instalador cambie las credenciales predeterminadas.

    • CVE-2024-11317 – Fijación de sesión (CWE-384):

Las vulnerabilidades de fijación de sesión permiten a un atacante fijar el identificador de sesión de un usuario antes de iniciar sesión, lo que brinda la oportunidad de tomar el control de la sesión en un producto.

Los siguientes productos están afectados:

    • ABB NEXUS Series: NEXUS-3-x;
    • ABB NEXUS Series: NEX-2x;
    • ABB ASPECT-Enterprise: ASP-ENT-x;
    • ABB MATRIX Series: MAT-x;
    • ABB ASPECT-Enterprise: ASP-ENT-x;
    • Toda la serie de productos AC500 V3 (PM5xxx).

La relación de versiones afectadas puede consultarse en las referencias.

Recomendaciones

ABB ha lanzado soluciones y mitigaciones específicas que los usuarios pueden aplicar para reducir el riesgo de las vulnerabilidades. ABB recomienda a sus clientes que apliquen las distintas actualizaciones lo antes posible.

Para más información acerca de las versiones correctores, consultar los avisos incluidos en las referencias.

Referencias

[1] ICSA-24-352-03: Rockwell Automation PowerMonitor 1000 Remote

[2] SD1714: PowerMonitor 1000 Remote Code Execution and denial-of-service Vulnerabilities via HTTP protocol

[SCI] Inyección de comandos en productos Moxa

Introducción

El investigador, Lars Haulin, ha reportado 2 vulnerabilidades que afectan a múltiples dispositivos Moxa como pueden ser enrutadores y de seguridad de red, siendo una de ellas de severidad crítica. La explotación de esta vulnerabilidades podría permitir a un atacante inyectar comandos del sistema operativo.[1]

Análisis

La vulnerabilidad crítica encontrada es la siguiente:

    • CVE-2024-9140 – Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)  (CWE-78):
      Esta vulnerabilidad permite la inyección de comandos del sistema operativo debido a comandos restringidos incorrectamente, lo que potencialmente permite a los atacantes ejecutar código arbitrario. Esto representa un riesgo significativo para la seguridad y la funcionalidad del sistema.

Las siguientes versiones de firmware y anteriores se ven afectadas, para cada conjunto de productos:

    • 1.0.5:
      • NAT-102.
    • 3.13.1:
      • EDR-8010;
      • EDR-G9004;
      • EDR-G9010;
      • EDF-G1002-BP.
    • 3.13:
      • OnCell G4302-LTE4;
      • TN-4900.

Recomendaciones

  • Actualizar el firmwarea las versiones 3.14 o posteriores para los productos:
    • EDR-8010;
    • EDR-G9004;
    • EDR-G9010;
    • EDF-G1002-BP.
  • No se dispone de parche de firmware oficial para el producto NAT-102, se recomienda consultar la sección de mitigaciones de la página web incluida en referencias.
  • Contactar con el soporte técnico de Moxa para obtener el parche de seguridad en los productos:
    • OnCell G4302-LTE4;
    • TN-4900.

Referencias

[1] Privilege Escalation and OS Command Injection Vulnerabilities in Cellular Routers, Secure Routers, and Network Security Appliances

[SCI] Múltiples vulnerabilidades en Power Monitor 1000 de Rockwell Automation

Introducción

Vera Mens, de Claroty Research – Team82, ha reportado 3 vulnerabilidades de severidad crítica, cuya explotación podría permitir a un atacante realizar operaciones de edición, crear usuarios administradores, realizar un restablecimiento de fábrica, ejecutar código arbitrario o causar una condición de denegación de servicio.[1]

Análisis

Las vulnerabilidades críticas encontradas son las siguientes[2]:

    • CVE-2024-12371 – Ausencia de autenticación para una función crítica  (CWE-306):
      Existe una vulnerabilidad de apropiación de dispositivos en Rockwell Automation Power Monitor 1000. Esta vulnerabilidad permite la configuración de un nuevo usuario titular de la póliza sin ninguna autenticación a través de API. El usuario titular de la póliza es el usuario con más privilegios que puede realizar operaciones de edición, crear usuarios administradores y realizar restablecimientos de fábrica.
    • CVE-2024-12372 – Control incorrecto de generación de código (Inyección de código) (CWE-94):
      Existe una vulnerabilidad de denegación de servicio y posible ejecución remota de código en Rockwell Automation Power Monitor 1000. La vulnerabilidad provoca la corrupción de la memoria del montón, lo que puede comprometer la integridad del sistema y permitir potencialmente la ejecución remota de código o un ataque de denegación de servicio.
    • CVE-2024-12373 – Copia de búfer sin comprobación del tamaño de entrada (Desbordamiento de búfer clásico) (CWE-94):
      Existe una vulnerabilidad de denegación de servicio en Rockwell Automation Power Monitor 1000. La vulnerabilidad genera un desbordamiento de búfer, lo que potencialmente causa una denegación de servicio.

La serie de productos afectados es:

    • PM1k 1408-BC3A-485: versiones anteriores a la 4.020;
    • PM1k 1408-BC3A-ENT: versiones anteriores a la 4.020;
    • PM1k 1408-TS3A-485: versiones anteriores a la 4.020;
    • PM1k 1408-TS3A-ENT: versiones anteriores a la 4.020;
    • PM1k 1408-EM3A-485: versiones anteriores a la 4.020;
    • PM1k 1408-EM3A-ENT: versiones anteriores a la 4.020;
    • PM1k 1408-TR1A-485: versiones anteriores a la 4.020;
    • PM1k 1408-TR2A-485: versiones anteriores a la 4.020;
    • PM1k 1408-EM1A-485: versiones anteriores a la 4.020;
    • PM1k 1408-EM2A-485: versiones anteriores a la 4.020;
    • PM1k 1408-TR1A-ENT: versiones anteriores a la 4.020;
    • PM1k 1408-TR2A-ENT: versiones anteriores a la 4.020;
    • PM1k 1408-EM1A-ENT: versiones anteriores a la 4.020;

Recomendaciones

Rockwell Automation ha corregido las vulnerabilidades reportadas en la versión de firmware 4.020, y recomienda a los usuarios actualizar a la última versión disponible.

Referencias

[1] ICSA-24-352-03: Rockwell Automation PowerMonitor 1000 Remote
[2] SD1714: PowerMonitor 1000 Remote Code Execution and denial-of-service Vulnerabilities via HTTP protocol

[SCI] Múltiples vulnerabilidades en Planet WGS-804HPT de Planet Technology

Introducción

Tomer Goldschmidt, de Claroty Research – Team82, ha informado sobre 3 vulnerabilidades en Planet WGS-804HPT: 2 de ellas de severidad crítica, que podrían provocar una ejecución remota de código o un bloqueo del programa.[1]

Análisis

Las vulnerabilidades críticas encontradas son las siguientes:

    • CVE-2024-48871 – Desbordamiento de búfer basado en pila (CWE-121):
      El producto afectado es vulnerable a un desbordamiento de búfer basado en la pila. Un atacante no autenticado podría enviar una solicitud HTTP maliciosa para que el servidor web no compruebe correctamente el tamaño de entrada antes de copiar los datos a la pila, lo que podría permitir la ejecución remota de código.
    • CVE-2024-52320 – Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo) (CWE-78):
      El producto afectado es vulnerable a una inyección de comandos. Un atacante no autenticado podría enviar comandos a través de una solicitud HTTP maliciosa que podría provocar la ejecución remota de código.

La serie de productos afectados es:

    • Planet WGS-804HPT: versión v1.305b210531

Recomendaciones

Actualizar a la versión 1.305b241111 o superior.

Referencias

[1] CISA-24-340-02 – Planet Technology Planet WGS-804HPT