[SCI] Múltiples vulnerabilitats en ThinManager ThinServer de Rockwell Automation

L’equip de Tenable ha publicat, en coordinació amb el fabricant afectat Rockwell Automation, 3 vulnerabilitats, 1 de severitat crítica i 2 altes.

Anàlisi

La vulnerabilitat de severitat crítica[1] és la següent:

    • CVE-2023-2917: Validació incorrecta de les entrades (CWE- 20):

A causa d’una validació d’entrada incorrecta, existeix una vulnerabilitat de path traversal, a través del camp de nom d’arxiu, quan el ThinManager processa una determinada funció. Si s’aprofita, un atacant remot no autenticat pot carregar arxius arbitraris en qualsevol directori de la unitat de disc on està instal·lat ThinServer.exe. Un usuari malintencionat podria explotar aquesta vulnerabilitat enviant un missatge de protocol de sincronització manipulat.

Recomanacions

Actualitzar el producte ThinManager ThinServer afectat:

    • Versions 11.0.0-11.2.6: Actualitzar a 11.0.7[2]
    • Versions 11.1.0-11.1.6: Actualitzar a 11.1.7[3]
    • Versions 11.2.0-11.2.6: Actualitzar a 11.2.8[4]
    • Versions 12.1.0-12.1.6: Actualitzar a 12.1.7[5]
    • Versions 12.0.0-12.0.5: Actualitzar a 12.0.6[6]
    • Versions 13.0.0-13.0.2: Actualitzar a 13.0.3[7]
    • Versió 13.1.0: Actualitzar a 13.1.1[8]

Referències

[1] ICSA-23-234-03 – Rockwell Automation ThinManager ThinServer
[2] 11.0.7-ThinManager-Web
[3] 11.1.7-ThinManager-Web
[4] 11.2.8-ThinManager-Web
[5] 12.1.7-ThinManager-Web
[6] 12.0.6-ThinManager-Web
[7] ThinManager 13.0.3
[8] ThinManager 13.1.1

[SCI] Múltiples vulnerabilitats en productes d’Ormazabal

Introducció

INCIBE ha coordinat la publicació de 10 vulnerabilitats, una d’elles crítica, descobertes per l’equip de Ciberseguretat Industrial de S21sec en els dispositius industrials ekorCCP i ekorRCI d’Ormazabal.

Anàlisi

La vulnerabilitat de severitat critica associada a la versió software 601j dels dispositius: ekorCCP [1]  y ekorRCI[2] és la següent:

      • CVE-2022-47558: Control d’accés inadequat (CWE-284):
        Els dispositius són vulnerables a causa de l’accés al servei FTP utilitzant credencials per defecte. L’explotació d’aquesta vulnerabilitat pot permetre a un atacant modificar fitxers crítics que podrien permetre la creació de nous usuaris, esborrar o modificar usuaris existents, modificar fitxers de configuració, instal·lació de rootkits o backdoor.

El llistat complet de vulnerabilitats pot consultar-se en les referències [3].

Recomanacions

Els dispositius afectats es troben en la fi de cicle de la seua vida útil. Ormazabal recomana actualitzar als models actualitzats.

Referències

[1]Ficha de producto: ekorCCP

[2]Ficha de producto: ekorRCI

[3]https://www.incibe.es/incibe-cert/alerta-temprana/avisos-sci/multiples-vulnerabilidades-en-productos-de-ormazabal?sstc=u19798nl260773

[SCI] Avisos de seguretat de Siemens d’agost de 2023

Siemens, en el seu comunicat mensual de partxes de seguretat, ha emés un total de 12 nous avisos de seguretat, recopilant un total de 37 vulnerabilitats de diferents severitats, 2 d’elles vulnerabilitats de severitat crítica.

Anàlisi

La vulnerabilitat de severitat critica associada als quasi 150 productes RUGGEDCOM[1] afectats és la següent:

      • CVE-2023-24845: Provisió incorrecta de la funcionalitat especificada (CWE- 684) :
        Els productes afectats no bloquegen prou la reexpedició de dades a través del port mirror a la xarxa reflectida. Un atacant podria utilitzar aquest comportament per a transmetre paquets maliciosos als sistemes de la xarxa en espill, possiblement influint en la seua configuració i comportament en temps d’execució.

La vulnerabilitat de severitat critica associada als productes RUGGEDCOM CROSSBOW [2] és la següent:

      • CVE-2023-37372: Injecció de comandos SQL (CWE-89) :
        L’aplicació afectada és vulnerable a la injecció SQL. Això podria permetre a un atacant remot no autenticat executar consultes SQL arbitràries en la base de dades del servidor.
        • RUGGEDCOM CROSSBOW: : Totes les versions < V5.4

El llistat complet de productes i versions afectades pot consultar-se en les referències.

Recomanacions

Les actualitzacions que corregeixen les vulnerabilitats indicades poden obtindre’s des del panell de descàrrega de Siemens [3]. Per als productes sense actualitzacions disponibles és recomanable aplicar les mesures de mitigació descrites en la secció de ‘Referències’.

Referències

[1]SSA-908185: Mirror Port Isolation Vulnerability in RUGGEDCOM ROS Devices

[2]SSA-472630: Security Vulnerabilities Fixed in RUGGEDCOM CROSSBOW V5.4

[3]Panel de descarga de Siemens

[SCI] Múltiples vulnerabilitats en productes de Phoenix Contact

CERT@VDE ha informat i coordinat la publicació de diverses vulnerabilitats descobertes en productes de Phoenix Contact, incloent dispositius TC ROUTER, TC CLOUD CLIENT, CLOUD CLIENT i PLCnext Engineer, que podrien permetre a un atacant una execució de codi en el context del navegador del usuari, una execució remota de codi, el robatori de dades o impedir que el sistema funcioni correctament.

 

Anàlisi

Les vulnerabilitats de severitat crítica associada són les següents:

      • CVE-2019-1353: Als dispositius PLCnext Engineer s’utilitza la biblioteca LibGit2Sharp que conté diferents vulnerabilitats, permetent la més crítica, la utilització d’arxius git, que condueixen a una execució remota de codi.[1]
      • CVE-2023-3526: Als dispositius TC ROUTER, TC CLOUD CLIENT i CLOUD CLIENT la vulnerabilitat més crítica permetria a un atacant remot no autenticat utilitzar un XSS reflectit dins de la pàgina del visor de llicències dels dispositius.[2]

Les vulnerabilitats afecten els recursos següents:

    • PLCnext Engineer, versions iguals o anteriors a 2023.3;
    • CLOUD CLIENT 1101T-TX/TX, versions anteriors a 2.06.10;
    • TC CLOUD CLIENT 1002-4G, versions anteriors a 2.07.2;
    • TC CLOUD CLIENT 1002-4G ATT, versions anteriors a 2.07.2;
    • TC CLOUD CLIENT 1002-4G VZW, versions anteriors a 2.07.2;
    • TC ROUTER 3002T-4G, versions anteriors a 2.07.2;
    • TC ROUTER 3002T-4G ATT, versions anteriors a 2.07.2;
    • TC ROUTER 3002T-4G VZW, versions anteriors a 2.07.2.

 

Recomanacions

Phoenix Contact recomana encaridament actualitzar a la darrera versió de firmware disponible dels dispositius TC ROUTER, TC CLOUD CLIENT i CLOUD CLIENT, així com a la versió 2023.6 de PLCnext Engineer.

 

Referències

[1] VDE-2023-016: PHOENIX CONTACT
[2] VDE-2023-017: PHOENIX CONTACT