Posted on

[SCI] Vulnerabilidades críticas en InfraSuite Device Master de Delta Electronics

Introducción

Un investigador anónimo que trabaja con Trend Micro Zero Day ha encontrado una vulnerabilidad que podría derivar a ejecución remota de código.[1]

Análisis

La vulnerabilidad de severidad crítica afecta a la deserialización de datos no fiables porque el programa ejecuta una versión de Apache ActiveMQ (5.15.2) vulnerable.

Se ha asignado el identificador CVE-2023-46604 para esta vulnerabilidad. También se le ha asignado el CWE-502.

La serie de productos afectados de Delta Electronics es:

    • InfraSuite Device Master: Versions 1.0.10 y anteriores.

Recomendaciones

Delta Electronics asegura que estas vulnerabilidades han sido mitigadas en la versión 1.0.11 y recomienda actualizar a dicha versión o una posterior.

Referencias

[1] ICSA-24-130-03 – Delta Electronics InfraSuite Device Master

Posted on

[SCI] Vulnerabilidades críticas en DIAEnergie de Delta Electronics

Introducción

Tenable ha publicado 3 vulnerabilidades que podrían derivar en una ejecución remota SQLi a través de uno de sus campos.[1]

Análisis

El ejecutable CEBC.exe escucha por TCP en el puerto 928 y acepta comandos en forma de cadena de caracteres. Las vulnerabilidades de severidad criticas asociadas a DIAEnergie son las siguientes:

    • CVE-2024-4547: Control inadecuado del mensaje «RecalculateScript» («inyección de código») (CWE-20):
      Cuando se procesa el mensaje “RecalculateScript”, existe una vulnerabilidad al separar el mensaje por el carácter ‘~’. Un atacante puede inyectar código en el cuarto campo del mensaje sin la necesidad de autenticarse.
    • CVE-2024-4548:Control inadecuado del mensaje «RecalculateHDMWYC» («inyección de código») (CWE-20):
      Cuando se procesa el mensaje “RecalculateHDMWYC”, existe una vulnerabilidad al separar el mensaje por el carácter ‘~’. Un atacante puede inyectar código en el cuarto campo del mensaje sin la necesidad de autenticarse.
    • CVE-2024-4549:  Denegación de Servicio sin identificación:
      Un atacante puede enviar la cadena de caracteres “ICS Restart!” y de esta forma reiniciar el sistema.

La serie de productos afectados es:

    • Delta Electronics DIAEnergie CEBC.exe, v1.10.1.8610 y anteriores.

Recomendaciones

La solución para los productos afectados es actualizar DIAEnergie a la versión v1.10.01.004 o posterior.

Referencias

[1] Delta Electronics DIAEnergie CEBC.exe Multiple Vulnerabilities

Posted on

Vulnerabilidad en las aplicaciones de Microsoft 365 y Office.

Introducción

CVE-2024-30040 es una vulnerabilidad de omisión de características de seguridad que afecta a Microsoft 365 y las aplicaciones de Office. Un actor puede enviar un archivo de Microsoft Office manipulado al usuario objetivo, el cual, al ser abierto, explota la vulnerabilidad para ejecutar código arbitrario.

Microsoft ha observado exploits de prueba de concepto weaponizados en venta en foros criminales. Microsoft lanzó actualizaciones de seguridad para este problema el 14 de mayo de 2024. Microsoft Defender para Puntos de Extremo detecta actividad maliciosa resultante de explotar vulnerabilidades en Microsoft Office, incluida CVE-2024-30040.

Análisis

CVE-2024-30040 es una vulnerabilidad de omisión de características de seguridad en Microsoft 365 y las aplicaciones de Office. Explotar CVE-2024-30040 no requiere ningún acceso previo al sistema objetivo. Tras la explotación exitosa, el actor de amenazas puede ejecutar código arbitrario en el sistema objetivo con los permisos del usuario actualmente conectado.

CVE-2024-30040 omite las mitigaciones de enlace y incrustación de objetos (OLE) en Microsoft 365 y las aplicaciones de Office que protegen a los usuarios de controles COM/OLE vulnerables. Un actor de amenazas crea un archivo de Microsoft Office (por ejemplo, DOCX) que contiene un enlace OLE a un archivo HTML. El archivo HTML incluye una etiqueta meta HTML, que obliga al código JavaScript a ejecutarse en un contexto de seguridad alternativo. Cuando el usuario objetivo abre o previsualiza el archivo creado, el código JavaScript se ejecuta.

Como parte de la explotación, el exploit de prueba de concepto (PoC) que Microsoft observó en la naturaleza se comunica con un servidor de comando y control (C2) a través de HTTPS, descarga un archivo Java malicioso (JAR) y ejecuta ese archivo utilizando el Entorno de Ejecución de Java (JRE) instalado en el sistema objetivo con los permisos del usuario actualmente conectado. Sin embargo, el código JavaScript puede realizar otras acciones en el dispositivo.

Versiones Afectadas

Esta vulnerabilidad afecta a Microsoft 365 y las aplicaciones de Office en versiones de Windows actualizadas antes del 14 de mayo de 2024.

Recomendaciones

Microsoft lanzó actualizaciones de seguridad para este problema el 14 de mayo de 2024. Se insta a los clientes que aún no hayan actualizado a hacerlo lo antes posible para garantizar la seguridad de su organización.

Referencias

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-30040
https://nvd.nist.gov/vuln/detail/CVE-2024-30040

Posted on

[SCI] Vulnerabilidades críticas en la librería uAMQP de Azure

Introducción

Moxa ha publicado 3 vulnerabilidades de severidad crítica que podrían permitir la ejecución remota de código.[1]

Análisis

Las vulnerabilidades de severidad criticas asociadas a la librería uAMQP de Azure son las siguientes:

    •  CVE-2024-27099 :  Doble liberación (CWE-415):
      Un atacante puede procesar un estado fallido «AMQP_VALUE» incorrecto que puede causar un problema de doble liberación.
    •  CVE-2024-25110:  Control inadecuado de la generación de código («inyección de código») (CWE-97):
      Un atacante puede desencadenar un problema de uso después de la liberación.
    •  CVE-2024-21646 :  Control inadecuado de la generación de código («inyección de código») (CWE-97):
      Un atacante puede crear datos de tipo binario. Puede ocurrir un desbordamiento de enteros, un ajuste envolvente o un problema de seguridad de la memoria.

La serie de productos MOXA afectados es :

    • Serie AIG-301, versión de firmware v1.5 y anteriores.

Recomendaciones 

Moxa ha desarrollado soluciones apropiadas para abordar las vulnerabilidades. La solución para los productos afectados es actualizar al firmware v1.5.1 o superior..

Referencias

[1] AIG-301 Series Azure uAMQP Vulnerabilities