[SCI] Actualitzacions de seguretat Siemens de desembre 2023

Introducció

Siemens ha emès un total de 13 nous avisos de seguretat al seu butlletí mensual de desembre, recopilant un total de 437 vulnerabilitats de diferents severitats.

 

Anàlisi

Les vulnerabilitats de severitat crítica associades als seus productes són les següents:

    • CVE-2023-44373:  Injecció de codi.
    • múltiples CVE recollits en SSA-398330 (consultar referèncias).[1]

 

Recomanacions

  • Les actualitzacions que corregeixen les vulnerabilitats indicades es poden obtenir des del panell de descàrrega de Siemens[2].
    Per als productes sense actualitzacions disponibles és recomanable aplicar les mesures de mitigació descrites a la secció de ‘Referències’.

 

[1] Referències

[2] Panell de descàrrega Siemens

[SCI] Múltiples vulnerabilitats en InfraSuite Device Master de Delta Electronics

Introducció

Hir0ot i Piotr Bazydlo, de Trend Micro Zero Day Initiative, han informat de 4 vulnerabilitats, tres d’elles de crítica, que podrien permetre a un atacant executar codi arbitrari de manera remota i obtindre credencials de text sense format [1].

Anàlisi

Les vulnerabilitats de severitat crítica associades als productes InfraSuite són les següents:

    • CVE-2023-46690:  Escriptura fora de limites (CWE-35).

Esta vulnerabilitat permet a un atacant escriure en qualsevol arxiu en qualsevol ubicació del sistema d’arxius, la qual cosa podria conduir a l’execució remota de codi.

    • CVE-2023-47207:  Deserialización de dades no fiables (CWE-502).

Esta vulnerabilitat permet a un atacant no autenticat executar codi amb privilegis d’administrador local.

    • CVE-2023-39226:  Mètode o funció perillós exposat (CWE-749).

Esta vulnerabilitat permet a un atacant no autenticat executar codi arbitrari a través d’un únic paquet UDP.

Productes afectats:

      • InfraSuite Device Màster: versions 1.0.7 i anteriors.

Recomanacions

Delta Electronics recomana actualitzar el seu software a la versió 1.0.10 o posterior [2].

Referències

[1] CISA ICS ADVISORY Delta Electronics InfraSuite Device Master
[2] InfraSuite_Device_Master_1.0.10

[SCI] Múltiples vulnerabilitats en productes Rockwell Automation

Introducció

Rockwell Automation ha reportat noves vulnerabilitats sobre els seus productes Rockwell Automation Stratix 5800 i Stratix 5200 [1].

Anàlisi

Les vulnerabilitats de severitat crítica associades als productes Rockwell afectats són les següents:

    • CVE-2023-20198:  Canal alternatiu sense protecció (CWE-420).

Rockwell Automation té coneixement de l’explotació activa d’una vulnerabilitat prèviament desconeguda en la funció d’interfície d’usuari web del programari Cisco IOS XE quan s’exposa a Internet o a xarxes no de confiança.

Esta vulnerabilitat permet que un atacant no autenticat i en remot cree un compte en un sistema vulnerable amb accés de nivell de privilegi 15. L’atacant podria potencialment usar este compte per a guanyar el control del sistema afectat.

    • CVE-2023-43208:  Neutralització incorrecta d’element especials usats en un comando ‘os’ (CWE-78).

Rockwell Automation té coneixement de l’explicació activa d’una vulnerabilitat prèviament desconeguda en la funció Web UI del programari Cisco IOS XE quan s’exposa a Internet o a xarxes no de confiança.

Esta vulnerabilitat podria permetre a un atacant remot autenticat injectar comandos amb els privilegis de root. Esta vulnerabilitat es deu a una validació d’entrada insuficient.

Un atacant podria aprofitar-se d’esta vulnerabilitat enviant entrades falsificades a la interfície d’usuari web. Una explotació reeixida podria permetre a l’atacant injectar comandos al sistema operatiu subyaciente amb privilegis de root.

Productes afectats:

Les següents versions de Stratix i el programari Cisco IOS que contenen estan afectades:

      • Stratix 5800 (corrent el programari Cisco IOS XE amb l’opció de Web UI activada): Totes les versions.
      • Stratix 5200 (corrent el programari Cisco IOS XE amb l’opció de Web UI activada): Totes les versions.

Recomanacions

Rockwell Automation recomana encaridament als usuaris que perseguisquen la guía per a deshabilitar els servidors Stratix HTTP en tots els sistemes que es connecten a Internet.

      • Per a deshabilitar la funció de servidor HTTP, usa el comando no ip http server o no ip http secure-server en el mode de configuració global. Si tant el servidor HTTP com el servidor HTTPS estan en ús, es requereixen tots dos comandos per a desactivar la funció Servidor HTTP.
      • Cisco Talos ha proporcionat Indicadors de Compromís i regles Snort que es poden trovar ací [2].
      • Les llistes de control d’accés han d’estar habilitades per a permetre només a adreces IP específiques accedir a la Interfície Web del dispositiu. Les instruccions detallades sobre com crear la llista de control d’accés es troben en QA67053 [3].
      • • Quan s’implementen controls d’accés per a estos serveis, assegure’s de revisar els controls perquè existeix la possibilitat que s’interrompen els serveis de producció.

Referencies

[1] CISA ICS ADVISORY Rockwell Automation Stratix 5800 and Stratix 5200
[2] Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerabilities
[3] Instrucciones detalladas sobre cómo crear la lista de control de acceso – Rockwell

[SCI] Vulnerabilitats en productes de Siemens

Introducción

Siemens ha reportat diverses vulnerabilitats l’explotació de les quals podría permetre als atacants executar codi arbitrari o causar una denegació de servei [1].

Anàlisi

La vulnerabilitat de severitat crítica associada als productes Siemens COMOS afectats és la següent:

    • CVE-2023-24482:  Desbordament de buffer (CWE-120).

El servei de validació de caixet de COMOS és vulnerable a un desbordament de búfer basat en un gestor d’excepcions estructurats. Això podría permetre que un atacant executara codi arbitrari en el sistema o causara una denegació de servei.

Productes afectats:

      • COMOS V10.2: Totes les versions.
      • COMOS V10.3.3.1: Versions anteriors a V10.3.3.1.45
      • COMOS V10.3.3.2: Versions anteriors a V10.3.3.2.33
      • COMOS V10.3.3.3: Versions anteriors a V10.3.3.3.9
      • COMOS V10.3.3.4: Versions anteriors a V10.3.3.4.6
      • COMOS V10.4.0.0: Versions anteriors a V10.4.0.0.31
      • COMOS V10.4.1.0: Versions anteriors a V10.4.1.0.32
      • COMOS V10.4.2.0: Versions anteriors a V10.4.2.0.25

Recomanacions

Siemens ha llançat actualitzacions per als productes afectats i recomana als usuaris que actualitzen a les últimes versions [2]:

      • COMOS V10.4.2.0: Actualitzar a V10.4.2.0.25 o posterior.
      • COMOS V10.4.1.0: Actualitzar a V10.4.1.0.32 o posterior.
      • COMOS V10.4.0.0: Actualitzar a V10.4.0.0.31 o posterior.
      • COMOS V10.3.3.4: Actualitzar a V10.3.3.4.6 o posterior.
      • COMOS V10.3.3.3: Actualitzar a V10.3.3.3.9 o posterior.
      • COMOS V10.3.3.2: Actualitzar a V10.3.3.2.33 o posterior.
      • COMOS V10.3.3.1: Actualitzar a V10.3.3.1.45 o posterior.
      • COMOS V10.2: Actualment no hi ha actualització.

Siemens ha identificat una solució per a mitigar riscos: Habilitar la protecció de sobreescritura de maneig d’excepcions estructurades (SEHOP) en el sistema operatiu Windows on está instal·lat COMOS per a proteger contra l’execució de codi. No obstant això, l’aplicació continuaría sent vulnerable a atacs de denegació de servei.

Referencies

[1] CISA ICS ADVISORY – Siemens COMOS
[2] COMOS V10.4.3 is now officially released and is available.