Autor: Industriales CSIRT-CV

Introducción

Uri Katz, de Claroty,^[1] ha reportado 7 vulnerabilidades al CISA^[2]: 2 de severidad crítica, 1 alta y 4 medias, que podrían permitir a un atacante la ejecución remota de código.

Análisis

Las explotaciones exitosas de estas vulnerabilidades podrían permitir a los atacantes apagar servidores y otros equipos de red alojados en centros de datos que normalmente cuentan con la alimentación de una PDU. Las vulnerabilidades afectan a todas las versiones anteriores a la 1.42.06162022 del Dataprobe iBoot-PDU FW,

CVE-2022-3183: vulnerabilidad crítica, una función específica no sanea la entrada proporcionada por el usuario, lo que podría permitir a un atacante la inyección de comandos del sistema operativo (CWE-78)

CVE-2022-3184: El firmware existente podría permitir a un atacante, no autenticado, escribir un archivo en el directorio webroot, mediante el acceso a una página PHP antigua, vulnerable al cruce de directorios (CWE-22).

Recomendaciones

Se recomienda actualizar a la versión 1.43.03312023 .
El fabricante también recomienda deshabilitar SNMP cuando no se necesite.

Referencias

Introducción

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA)^[1] de EE.UU. ha publicado un aviso sobre sistemas de control industrial acerca de una vulnerabilidad crítica que afecta a las unidades terminales remotas ME RTU del fabricante INEA^[2]

Análisis

Las versiones del firmware INEA ME RTU anteriores a la 3.36 son vulnerables a la inyección de comandos del sistema operativo, lo que podría permitir a un atacante ejecutar código arbitrario de forma remota, se ha asignado el identificador CVE-2023-2131 para esta vulnerabilidad.

Recomendaciones

Actualice a la versión 3.36 o posterior del firmware INEA ME RTU

Además, CISA recomienda a los usuarios tomar medidas defensivas para minimizar el riesgo de explotación de esta vulnerabilidad. Específicamente, los usuarios deberían:

• • Minimizar la exposición a la red de todos los dispositivos y/o sistemas del sistema de control, y asegurarse de que no son accesibles desde Internet.
  • Ubicar las redes del sistema de control y los dispositivos remotos detrás de cortafuegos y aislarlos de las redes empresariales.
  • Cuando se requiera acceso remoto, utilice métodos seguros, como redes privadas virtuales (VPN), reconociendo que las VPN pueden tener vulnerabilidades y deben actualizarse a la versión más reciente disponible. Reconozca también que una VPN es tan segura como sus dispositivos conectados.

Referencias

Introducción

Se han identificado 3 vulnerabilidades, 2 de severidad crítica y 1 alta en VC4 Visualization.

Análisis

B&R VC4 es un paquete de software para generar interfaces hombre-máquina utilizando Automation Studio. Estas interfaces pueden utilizarse para controlar máquinas o mostrar información sobre las operaciones en curso. La visualización de B&R VC4 utiliza la tecnología VNC.

Las vulnerabilidades críticas se detallan a continuación:

CVE-2018-20748: Escritura fuera de límites (CWE-787)

VNC contiene múltiples vulnerabilidades de escritura fuera de límites en libvncclient/rfbproto.c.

CVE-2023-1617: Autenticación incorrecta (CWE-287)

El componente del servidor VNC posee un mecanismo de autenticación inadecuado, que podría permitir a un atacante, no autenticado, y con acceso a la red, eludir el mecanismo de autenticación en los dispositivos afectados.

Un mecanismo de autenticación inadecuado en el componente del servidor VNC utilizado por las versiones afectadas de las visualizaciones VC4 de B&R puede permitir a un atacante no autenticado eludir el mecanismo de autenticación de la visualización VC4 en los dispositivos.

Las versiones afectadas son:

• • 3.96.7 y anteriores.
  • 4.06.4 y anteriores.
  • 4.16.3 y anteriores.
  • 4.26.8 y anteriores.
  • 4.34.6 y anteriores.
  • 4.45.1 y anteriores.
  • 4.53.0 y anteriores.
  • 4.72.9 y anteriores.

Recomendaciones

Los problemas para cada versión del producto se han corregido en las siguientes:

• • <3.9 = producto descatalogado
  • 3.9 = 3.96.8
  • 4.0 = Por favor, actualice a la siguiente línea de versión fija
  • 4.1 = Por favor, actualice a la siguiente línea de versión fija
  • 4.2 = Por favor, actualice a la siguiente versión fija
  • 4.3 = 4.34.7
  • 4.4 = Por favor, actualice a la siguiente versión fija
  • 4.5 = Por favor, actualice a la siguiente versión fija
  • 4.7 = 4.73.0

Siga el principio de mínima funcionalidad:

• • No active el servidor VNC cuando no sea necesario para el funcionamiento del SIGC.
  • Limite la funcionalidad de su interfaz hombre-máquina al mínimo imprescindible.

Referencias

Introducción

El fabricante ha reportado 5 vulnerabilidades en su producto MicroSCADA SDM600, 1 de severidad crítica, 3 altas y 1 baja. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante tomar el control remoto del producto.

Análisis

La vulnerabilidad crítica afecta a la validación de permisos de archivos de SDM600. Un atacante podría explotar esta vulnerabilidad obteniendo acceso al sistema y cargando un mensaje especialmente diseñado en el nodo del sistema, lo que podría dar lugar a la ejecución de código arbitrario.

CVE-2022-3682: Carga Sin Restricciones De Archivos De Tipo Peligroso (CWE-434)

En las versiones afectadas existe una vulnerabilidad en la validación de permisos de archivos. Un atacante podría explotar la vulnerabilidad ganando acceso al sistema y subir mensajes especialmente manipulados al nodo sistema, lo que podría resultar en ejecución de código arbitrario.

Los modelos afectados son:

• • MicroSCADA System Data Manager SDM600, versiones anteriores a:
    • 1.2 FP3 HF4 (Build Nr. 1.2.23000.291);
    • 1.3.0 (Build Nr. 1.3.0.1339).

Recomendaciones

• • 1.2 FP3 HF4 (Build Nr. 1.2.23000.291): actualizar a la versión 1.3.0.1339.
  • 1.3.0 (Build Nr. 1.3.0.1339): aplicar las medidas de mitigación listadas en el apartado 4 del aviso de CISA^[1]

Referencias