Autor: Industriales CSIRT-CV

Introducción

DJ Cole, investigador de Cisco, descubrió durante unas pruebas internas de seguridad una vulnerabilidad de severidad crítica que afecta a la interfaz web de gestión del software Cisco Unified Industrial Wireless para puntos de acceso Cisco Ultra-Reliable Wireless Backhaul (URWB).^[1]

Análisis

Las vulnerabilidades críticas encontradas son las siguientes:

• • CVE-2024-20418 – Neutralización indebida de elementos especiales utilizados en un comando (inyección de comandos)(CWE-77):
    Esta vulnerabilidad se origina por una validación incorrecta de la entrada a la interfaz web de gestión de URWB. Un atacante podría explotar esta vulnerabilidad enviando peticiones HTTP maliciosas a dicha interfaz, lo que podría permitir la ejecución de comandos arbitrarios con privilegios de root en el sistema operativo subyacente del dispositivo afectado.

La serie de productos afectados es:

Las versiones 17.15, 17.14 y anteriores de Cisco Unified Industrial Wireless Software están afectadas por esta vulnerabilidad.

Esta vulnerabilidad afecta a los siguientes productos Cisco si ejecutan una versión vulnerable y tienen habilitado el modo operativo URWB:

• • Puntos de acceso de alta resistencia Catalyst IW9165D,
  • Puntos de acceso y clientes inalámbricos ruguerizados Catalyst IW9165E,
  • Puntos de acceso de alta resistencia Catalyst IW9167E.

Recomendaciones

Actualizar Cisco Unified Industrial Wireless Software a la versión 17.15.1.

Referencias

[1] Cisco Unified Industrial Wireless Software for Ultra-Reliable Wireless Backhaul Access Point Command Injection Vulnerability

Introducción

Konstantin Lazarev, investigador de GreyNoise, ha publicado un análisis sobre 2 vulnerabilidades que afectan a cámaras PTZ del fabricante PTZOptics, las cuales están siendo explotadas activamente. Estas fueron detectadas con su herramienta de detección de amenazas basada en inteligencia artificial Sift.^[1]

La explotación de estas vulnerabilidades podría permitir a un atacante ejecutar código de forma remota o filtrar información del servidor web.^[2]

Análisis

Las vulnerabilidades críticas encontradas son las siguientes:

• • CVE-2024-8956 – Autenticación Incorrecta  (CWE-287):
    Las cámaras PTZOptics PT30X-SDI/NDI-xx anteriores al firmware 6.3.40 son vulnerables a un problema de autenticación insuficiente. La cámara no aplica correctamente la autenticación en /cgi-bin/param.cgi cuando se envían solicitudes sin un encabezado de autorización HTTP. El resultado es que un atacante remoto y no autenticado puede filtrar datos confidenciales, como nombres de usuario, hashes de contraseñas y detalles de configuración. Además, el atacante puede actualizar valores de configuración individuales o sobrescribir todo el archivo.^[3]
  • CVE-2024-8957 – Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)  (CWE-78):
    PTZOptics PT30X-SDI/NDI-xx anterior al firmware 6.3.40 es vulnerable a un problema de inyección de comandos del sistema operativo. La cámara no valida suficientemente el valor de configuración ntp_addr, lo que puede provocar la ejecución de comandos arbitrarios cuando se inicia ntp_client. Cuando se combina con CVE-2024-8956, un atacante remoto y no autenticado puede ejecutar comandos arbitrarios del sistema operativo en los dispositivos afectados.^[4]

La serie de productos afectados es:

• • PTZOptics PT30X-SDI, versiones anteriores a 6.3.40;
  • PTZOptics PT30X-NDI-xx-G2, versiones anteriores a 6.3.40;
  • otros equipos audiovisuales de marca blanca basados en el firmware de cámara PTZ de ValueHD Corporation, como dispositivos de Multicam Systems SAS o SMTAV Corporation

Recomendaciones

PTZOptics publicó actualizaciones de seguridad^[5] en septiembre, pero algunos modelos, como PT20X-NDI-G2 y PT12X-NDI-G2, no recibieron dichas actualizaciones de firmware por haber llegado al final de su vida útil (EoL).

Posteriormente, GreyNoise detectó 2 nuevos modelos, PT20X-SE-NDI-G3 y PT30X-SE-NDI-G3, también vulnerables y que tampoco recibieron actualización.

Referencias

[1] GreyNoise Intelligence Discovers Zero-Day Vulnerabilities in Live Streaming Cameras with the Help of AI
[2] CVE-2024-8956, CVE-2024-8957: How to Steal a 0-Day RCE (With a Little Help from an LLM)
[3] PTZOptics NDI and SDI Cameras /cgi-bin/param.cgi Insufficient Authentication
[4] PTZOptics NDI and SDI Cameras Configuration Command Injection
[5] Latest Firmware Files

Introducción

El investigador, Raphael Ruf de terreActive AG ha reportado a CISA, 3 vulnerabilidades siendo 2 de ellas de severidad crítica, que afectan a la línea de productos DDC4000. La explotación de estas vulnerabilidades podría provocar que un atacante consiguiera permisos de administrador absolutos en el sistema.^[1]

Análisis

Las vulnerabilidades críticas encontradas son las siguientes:

• • CVE-2024-41717 – Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)  (CWE-22):
    La serie DDC4000 de Kieback & Peter es vulnerable a una vulnerabilidad de path traversal, que puede permitir que un atacante no autenticado lea archivos en el sistema.
  • CVE-2024-43698 – Uso de credenciales débiles  (CWE-1391):
    La serie DDC4000 de Kieback & Peter utiliza credenciales débiles, lo que puede permitir que un atacante no autenticado obtenga derechos de administrador completos en el sistema.

La serie de productos afectados es:

• • DDC4100, versiones 1.7.4 y anteriores.
  • Versiones 1.12.14 y anteriores de los modelos:
    • DDC4002;
    • DDC4200;
    • DDC4200-L;
    • DDC4400.
  • Versiones 1.17.6 y anteriores de los modelos:
    • DDC4002e;
    • DDC4200e;
    • DDC4400e;
    • DDC4020e;
    • DDC4040e.

Recomendaciones

• • Los siguientes modelos han llegado al final de su vida, por lo que ya no reciben soporte:
    • DDC4100;
    • DDC4002;
    • DDC4200;
    • DDC4200-L;
  • Se recomienda a los usuarios actualizar los controladores y contactar con las oficinas locales de Kieback&Peter para actualizar el firmware de los sistemas a la versión 1.21.0 o posteriores en los siguientes modelos:
    • • DDC4002e;
      • DDC4200e;
      • DDC4400e;
      • DDC4020e;

Referencias

[1] ICSA-24-291-05 – Kieback&Peter DDC4000 Series

Introducción

El investigador Moritz Abrell de SySS GmbH ha reportado a CERT@VDE, en coordinación con Red Lion Europe, 7 vulnerabilidades siendo 2 de ellas de severidad crítica, que afectan a varios productos de MB Connect Line GmbH. La explotación de estas vulnerabilidades podría provocar acceso, no autorizado, a archivos o ejecución remota de código.^[1]

Análisis

Las vulnerabilidades críticas encontradas son las siguientes:

• • CVE-2024-45274 – Ausencia de autenticación para una función crítica (CWE-306):
    Un atacante remoto no autenticado puede ejecutar comandos del sistema operativo a través de UDP en el dispositivo debido a la falta de autenticación.
  • CVE-2024-45275 – Credenciales embebidas en el software (CWE-798):
    Los dispositivos contienen dos cuentas de usuario codificadas con contraseñas codificadas que permiten a un atacante remoto no autenticado tener control total de los dispositivos afectados.

La serie de productos afectados es:

• • mbNET.mini versiones 2.2.13 y anteriores

Recomendaciones

Actualizar mbNET.mini a la versión 2.3.1.

Referencias

[1] VDE-2024-056 – MB connect line: Multiple Vulnerabilities in mbNET.mini Product