Posted on

[SCI] Múltiples vulnerabilidades en FactoryTalk VantagePoint de Rockwell Automation

Introducción

Rockwell Automation[1] ha reportado a CISA[2] dos vulnerabilidades de severidad crítica en su producto FactoryTalk VantagePoint EMI Client, una referida al control de acceso inadecuado y otra vulnerabilidad que permite la inyección SQL.

 

Análisis

Las vulnerabilidades que están clasificadas como críticas tienen los siguientes identificadores:

CVE-2022-38743: El producto afectado tiene controles de acceso inadecuados. La cuenta de FactoryTalk VantagePoint SQLServer podría permitir que un usuario malintencionado con privilegios de solo lectura ejecute sentencias SQL en la base de datos del back-end.

CVE-2022-3158: El producto afectado carece de validación de entrada cuando los usuarios ingresan declaraciones SQL para recuperar información de la base de datos del back-end. Esta vulnerabilidad podría permitir potencialmente que un usuario con privilegios de usuario básicos realice la ejecución remota de código en el servidor.

 

Recomendaciones

Las vulnerabilidades se resuelven actualizando el firmware a partir de la versión 8.0.

 

Referencias

[1] https://rockwellautomation.com

[2] https://www.cisa.gov

Posted on

[SCI] Múltiples vulnerabilidades en productos Carlo Gavazzi Controls

Introducción

El fabricante de componentes electrónicos Carlo Gavazzi Controls S.p.A[1] ha reportado 11 vulnerabilidades en varios de sus productos, siendo 6 de severidad crítica, 4 altas y 1 media gracias al trabajo de la investigadora, Vera Mens, de Claroty Research, coordinada y apoyada para esta publicación por el CERT@VDE[2].

Análisis

Se han encontrado múltiples vulnerabilidades en la familia de controladores y gateways de monitorización UWP 3.0, que darían acceso completo de un atacante al dispositivo. Las vulnerabilidades más importantes son las siguientes, las cuales están clasificadas como críticas:

CVE-2022-22522: Un atacante remoto, no autenticado, podría hacer uso de las credenciales en texto claro para obtener acceso completo al dispositivo.

CVE-2022-22524: Un atacante remoto, no autenticado, podría utilizar una vulnerabilidad de inyección SQL para obtener acceso completo a la base de datos, modificar usuarios y detener servicios.

CVE-2022-22526: La falta de autenticación podría permitir el acceso completo a través de la API.

CVE-2022-28811: Un atacante remoto, no autenticado, podría utilizar una validación de entrada inadecuada en un parámetro enviado por la API para ejecutar comandos arbitrarios del sistema operativo.

CVE-2022-28812: Un atacante remoto, no autenticado, podría hacer uso de las credenciales en texto claro para obtener acceso de SuperUser al dispositivo.

CVE-2022-28814: El dispositivo afectado es vulnerable a un path traversal que podría permitir a los atacantes remotos leer archivos arbitrarios y obtener el control total del dispositivo.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2022-28816, CVE-2022-22523, CVE-2022-28813, CVE-2022-22525 y CVE-2022-28815.

Recomendaciones

Las vulnerabilidades se resuelven actualizando los productos afectados a partir de la versión 8.5.0.3, disponible desde el 27 de abril de 2022.

Referencias

[1] https://gavazziautomation.com

[2] https://cert.vde.com/en/