[SCI] Actualizaciones de seguridad Siemens de diciembre 2023

Introducción

Siemens ha emitido un total de 13 nuevos avisos de seguridad en su boletín mensual de diciembre, recopilando un total de 437 vulnerabilidades de distintas severidades.

 

Análisis

Las vulnerabilidades de severidad crítica asociadas a sus productos son las siguientes:

    • CVE-2023-44373:  Inyección de código
    • múltiples CVE recogidos en SSA-398330 (consultar referencias).[1]

 

Recomendaciones 

  • Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens[2].
    Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de ‘Referencias’.

 

[1] Referencias

[2] Panel de Descarga Siemens

[SCI] Múltiples vulnerabilidades en InfraSuite Device Master de Delta Electronics

Introducción

Hir0ot y Piotr Bazydlo, de Trend Micro Zero Day Initiative, han informado de 4 vulnerabilidades, tres de ellas de crítica, que podrían permitir a un atacante ejecutar código arbitrario de forma remota y obtener credenciales de texto sin formato [1].

Análisis

Las vulnerabilidades de severidad crítica asociadas a los productos InfraSuite son las siguientes:

    • CVE-2023-46690:  Escritura fuera de limites (CWE-35).

Esta vulnerabilidad permite a un atacante escribir en cualquier archivo en cualquier ubicación del sistema de archivos, lo que podría conducir a la ejecución remota de código.

    • CVE-2023-47207:  Deserialización de datos no fiables (CWE-502).

Esta vulnerabilidad permite a un atacante no autenticado ejecutar código con privilegios de administrador local.

    • CVE-2023-39226:  Método o función peligroso expuesto (CWE-749).

Esta vulnerabilidad permite a un atacante no autenticado ejecutar código arbitrario a través de un único paquete UDP.

Productos afectados:

      • InfraSuite Device Master: versiones 1.0.7 y anteriores.

Recomendaciones

Delta Electronics recomienda actualizar su software a la versión 1.0.10 o posterior [2].

Referencias

[1] CISA ICS ADVISORY Delta Electronics InfraSuite Device Master
[2] InfraSuite_Device_Master_1.0.10

[SCI] Múltiples vulnerabilidades en productos Rockwell Automation

Introducción

Rockwell Automation ha reportado nuevas vulnerabilidades, dos de ellas críticas, sobre sus productos Rockwell Automation Stratix 5800 y Stratix 5200 [1].

Análisis

Las vulnerabilidades de severidad crítica asociadas a los productos Rockwell afectados son las siguientes:

    • CVE-2023-20198:  Canal alternativo sin protección (CWE-420).

Rockwell Automation tiene conocimiento de la explotación activa de una vulnerabilidad previamente desconocida en la función de interfaz de usuario web del software Cisco IOS XE cuando se expone a Internet o a redes no confiables.

Esta vulnerabilidad permite que un atacante no autenticado y en remoto cree una cuenta en un sistema vulnerable con acceso de nivel de privilegio 15. El atacante podría potencialmente usar esta cuenta para ganar el control del sistema afectado.

    • CVE-2023-43208:  Neutralización incorrecta de elemento especiales usados en un comando ‘os’ (CWE-78).

Rockwell Automation tiene conocimiento de la explicación activa de una vulnerabilidad previamente desconocida en la función Web UI del software Cisco IOS XE cuando se expone a Internet o a redes no confiables.

Esta vulnerabilidad podría permitir a un atacante remoto autenticado inyectar comandos con los privilegios de root. Ésta se debe a una validación de entrada insuficiente.

Un atacante podría aprovecharse de esta vulnerabilidad enviando entradas falsificadas a la interfaz de usuario web. Una explotación exitosa podría permitir al atacante inyectar comandos al sistema operativo subyaciente con privilegios de root.

Productos afectados:

Las siguientes versiones de Stratix y el software Cisco IOS que contienen están afectadas:

      • Stratix 5800 (corriendo el software Cisco IOS XE con la opción de Web UI activada): Todas las versiones.
      • Stratix 5200 (corriendo el software Cisco IOS XE con la opción de Web UI activada): Todas las versiones.

Recomendaciones

Rockwell Automation recomienda encarecidamente a los usuarios que sigan la guía para deshabilitar los servidores Stratix HTTP en todos los sistemas que se conectan a Internet.

      • Para deshabilitar la función de servidor HTTP, usa el comando no ip http server o no ip http secure-server en el modo de configuración global. Si tanto el servidor HTTP como el servidor HTTPS están en uso, se requieren ambos comandos para desactivar la función Servidor HTTP.
      • Cisco Talos ha proporcionado Indicadores de Compromiso y reglas Snort que se pueden encontrar aquí [2].
      • Las listas de control de acceso deben estar habilitadas para permitir sólo a direcciones IP específicas acceder a la Interfaz Web del dispositivo. Las instrucciones detalladas sobre cómo crear la lista de control de acceso se encuentran en QA67053 [3].
      • Cuando se implementen controles de acceso para estos servicios, asegúrese de revisar los controles porque existe la posibilidad de que se interrumpan los servicios de producción.

Referencias

[1] CISA ICS ADVISORY Rockwell Automation Stratix 5800 and Stratix 5200
[2] Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerabilities
[3] Instrucciones detalladas sobre cómo crear la lista de control de acceso – Rockwell

[SCI] Vulnerabilidades en productos de Siemens

Introducción

Siemens ha reportado varias vulnerabilidades cuya explotación podría permitir a los atacantes ejecutar código arbitrario o causar una denegación de servicio [1].

Análisis

La vulnerabilidad de severidad crítica asociada a los productos Siemens COMOS afectados es la siguiente:

    • CVE-2023-24482:  Desbordamiento de buffer (CWE-120).

El servicio de validación de caché de COMOS es vulnerable a un desbordamiento de búfer basado en un gestor de excepciones estructurados. Esto podría permitir que un atacante ejecutase código arbitrario en el sistema o causara una denegación de servicio.

Productos afectados:

      • COMOS V10.2: Todas las versiones.
      • COMOS V10.3.3.1: Versiones anteriores a V10.3.3.1.45
      • COMOS V10.3.3.2: Versiones anteriores a V10.3.3.2.33
      • COMOS V10.3.3.3: Versiones anteriores a V10.3.3.3.9
      • COMOS V10.3.3.4: Versiones anteriores a V10.3.3.4.6
      • COMOS V10.4.0.0: Versiones anteriores a V10.4.0.0.31
      • COMOS V10.4.1.0: Versiones anteriores a V10.4.1.0.32
      • COMOS V10.4.2.0: Versiones anteriores a V10.4.2.0.25

Recomendaciones

Siemens ha lanzado actualizaciones para los productos afectados y recomienda a los usuarios que actualicen a las últimas versiones [2]:

      • COMOS V10.4.2.0: Actualizar a V10.4.2.0.25 o posterior.
      • COMOS V10.4.1.0: Actualizar a V10.4.1.0.32 o posterior.
      • COMOS V10.4.0.0: Actualizar a V10.4.0.0.31 o posterior.
      • COMOS V10.3.3.4: Actualizar a V10.3.3.4.6 o posterior.
      • COMOS V10.3.3.3: Actualizar a V10.3.3.3.9 o posterior.
      • COMOS V10.3.3.2: Actualizar a V10.3.3.2.33 o posterior.
      • COMOS V10.3.3.1: Actualizar a V10.3.3.1.45 o posterior.
      • COMOS V10.2: Actualmente no hay actualización.

Siemens ha identificado una solución para mitigar los riesgos: Habilitar la protección de sobreescritura de manejo de excepciones estructuradas (SEHOP) en el sistema operativo Windows donde está instalado COMOS para proteger contra la ejecución de código. Sin embargo, la aplicación seguiría siendo vulnerable a ataques de denegación de servicio.

Referencias

[1] CISA ICS ADVISORY – Siemens COMOS
[2] COMOS V10.4.3 is now officially released and is available.