Autor: Industriales CSIRT-CV

Introducción

Los procesadores SIMATIC S7-1200 y S7-1500 de Siemens empleados en varios productos de Festo Didactic tienen una vulnerabilidad de omisión de la protección de memoria que podría explotarse para escribir código arbitrario en lugares protegidos de la memoria.

Esta vulnerabilidad fue gestionada por CERT@VDE, en coordinación con Festo Didactic.^[1]

Análisis

La vulnerabilidad crítica encontrada es la siguiente:

• CVE-2020-15782 – Restricción de operaciones inapropiada dentro de los límites del búfer de la memoria  (CWE-119):
  Los dispositivos afectados son vulnerables a una omisión de protección de la memoria mediante una operación específica. Un atacante remoto no autenticado con acceso de red al puerto 102/tcp podría potencialmente escribir datos y código arbitrario en áreas de memoria protegidas o leer datos confidenciales para iniciar más ataques.

• La serie de productos afectados es:
• Versiones anteriores a 2.9.2 de Siemens Simatic S7-1500 / ET200SP instaladas en FESTO Didactic
  • • CP incluyendo S7 PLC.
    • Sistemas MPS 200.
    • Sistemas MPS 400.

• •  

Recomendaciones

Actualizar los productos afectados a la versión 2.9.2.

Referencias

• [1] Festo: Siemens S7-1500/ET200SP CPU used in Festo Didactic products contain a memory protection bypass vulnerability

Introducción

VDE@CERT ha coordinado la publicación de un aviso de seguridad para una vulnerabilidad crítica de Endress+Hauser. De explotarse, esta vulnerabilidad podría permitir la ejecución de comandos en el contexto de otros usuarios.

La vulnerabilidad fue detectada por Julian Renz, de Endress+Hauser.^[1]

Análisis

La vulnerabilidad crítica encontrada es la siguiente:

• • • CVE-2024-6596 – Control incorrecto de generación de código (Inyección de código) (CWE-94):
      Echo Curve Viewer es una utilidad utilizada para la visualización offline de datos de curvas envolventes previamente registrados. Al cargar los archivos .cs que utiliza para la representación de estas curvas, contienen c#; sin embargo, cuando se ingesta, estos no son autenticados ni validados, por lo que el código c# de ellos se ejecuta inmediatamente. Un atacante remoto sin autenticación puede ejecutar código c# incluido en estos archivos y ejecutar comandos en el contexto del usuario.

• La serie de productos afectados es:
  • • Echo Curve Viewer, versiones 5.2.2.6 o anteriores.
    • FieldCare SFE500 Package:
      • USB, versiones V1.40.00.7448 o anteriores;
      • Web-Package, versiones V1.40.00.7448 o anteriores.
    • Field Xpert SMT50, versiones SMT50_Win10_LTSC_21H2_v1.07.00_RC02_03 o anteriores.
    • Field Xpert SMT70, versiones SMT70_Win10_LTSC_21H2_v1.07.00_RC02_01 o anteriores.
    • Field Xpert SMT77, versiones SMT77_Win10_SAC_22H2_v1.08.04_RC03_02 o anteriores.
    • Field Xpert SMT79, versiones V1.08.02-1.8.8684.34292 o anteriores.

Recomendaciones

• • • Echo Curve Viewer: actualizar a la versión 6.00.00.
    • FieldCare SFE500 Package: actualizar a la versión 1.40.1.
    • Para los dispositivos Field Xpert Devices, la actualización se instala automáticamente al iniciar el dispositivo, siempre que este tenga conexión a Internet

Referencias

• [1] Endress+Hauser: Multiple products are vulnerable to code injection

Introducción

Philips ha publicado un aviso de seguridad para varios de sus productos que podrían sufrir la ejecución de código remoto, debido a una vulnerabilidad de Microsoft Windows.^[1][2]

Análisis

La vulnerabilidad crítica encontrada es la siguiente:

• • • CVE-2024-38063 – Subdesbordamiento de entero (CWE-191):
      Si un atacante envía paquetes IPv6 hacia un sistema Windows que sea vulnerable, debido a una gestión indebida el atacante podría ejecutar código de forma remota.

• La serie de productos afectados es:
  • • 860292 – Holter SW;
    • 867019 – IntelliVue XDS;
    • 866009 – IntelliVue Guardian Software (IGS);
    • 867061 – IntelliSpace Perinatal (ISP);
    • 860426 – IntelliSpace ECG;
    • 989706010001 – Corsium;
    • 860443 – ECI Event and Device Readiness;
    • 867126 – ECI Patient Care Reporting (API);
    • 881001/881011 – IntelliSpace Portal v12.

Recomendaciones

• • • Desactivar IPv6 si no se utiliza.
    • Mantener Windows en la última versión disponible.

Referencias

• [1] Windows Critical TCP IPv6 Advisory (CVE-2024-38063) (2024 August 30)
• [2] Windows TCP/IP Remote Code Execution Vulnerability

Introducción

Rockwell Automation ha publicado información sobre 7 vulnerabilidades que afectan a varios de sus productos, siendo 1 de ellas de severidad crítica. La explotación de esta vulnerabilidad podría permitir que un atacante ejecute código arbitrario, realice una denegación de servicio, tome el control de una cuenta de usuario, bloquear el dispositivo, modificar archivos y ejecutarlos con privilegios elevados.^{[1][2][3][4][5][6]}

Análisis

La vulnerabilidad crítica encontrada es la siguiente:

• • • CVE-2018-1285 – Restricción incorrecta de referencia a entidad externa XML (XXE) (CWE-611):
      Apache log4net en versiones anteriores a 2.0.10, no deshabilita las entidades externas XML cuando analiza los archivos de configuración de log4net. Esto permite realizar ataques basados en XXE en aplicaciones que aceptan archivos de configuración log4net controlados por el atacante.

• La serie de productos afectados es:
  • • AADvance Standalone OPC-DA Server, versiones 2.01.510 y posteriores.
    • Versiones 34.011 y posteriores de:
      • ControlLogix 5580;
      • GuardLogix 5580.
    • DataMosaix Private Cloud, versiones anteriores a 7.07.
    • FactoryTalk View SE, versión 13.0.
    • Versiones anteriores a 36.011, 35.013 y 34.014 de:
      • CompactLogix 5380 (5069 – L3z);
      • CompactLogix 5480 (5069 – L4);
      • ControlLogix 5580 (1756 – L8z);
      • GuardLogix 5580 (1756 – L8z);
      • Compact GuardLogix 5380 (5069 – L3zS2).

Recomendaciones

Actualizar los productos afectados a las siguientes versiones correctoras, o aplicar las medidas de mitigación adecuadas:

• • • AADvance Standalone OPC-DA Server: versiones 2.02 o posteriores.
    • ControlLogix 5580 y GuardLogix 5580: versiones 34.014 y posteriores.
    • DataMosaix Private Cloud: versiones desde 7.07 hasta 7.09.
    • FactoryTalk View SE: eliminar los privilegios de lectura y escritura al grupo de usuarios Everyone.
    • CompactLogix 5380 y 5480, ControlLogix 5580, GuardLogix 5580 y Compact GuardLogix 5380: versiones 36.011, 35.013 y 34.014. Además, restringir las comunicaciones con el objeto CIP 103 (0x67).

Referencias

• [1] ICSA-24-226-02 – Rockwell Automation AADvance Standalone OPC-DA Server
• [2] ICSA-24-226-03 – Rockwell Automation GuardLogix/ControlLogix 5580 Controller
• [3] ICSA-24-226-05 – Rockwell Automation DataMosaix Private Cloud
• [4] ICSA-24-226-06 – Rockwell Automation FactoryTalk View Site Edition
• [5] ICSA-24-226-09 – Rockwell Automation ControlLogix, GuardLogix 5580, CompactLogix, Compact GuardLogix 5380
• [6] ICSA-24-226-10 – Rockwell Automation ControlLogix, GuardLogix 5580, CompactLogix, and Compact GuardLogix 5380