Posted on

[SCI] Múltiples vulnerabilidades en MicroSCADA SDM600 de Hitachi Energy

Introducción

El fabricante ha reportado 5 vulnerabilidades en su producto MicroSCADA SDM600, 1 de severidad crítica, 3 altas y 1 baja. La explotación exitosa de estas vulnerabilidades podría permitir a un atacante tomar el control remoto del producto.

Análisis

La vulnerabilidad crítica afecta a la validación de permisos de archivos de SDM600. Un atacante podría explotar esta vulnerabilidad obteniendo acceso al sistema y cargando un mensaje especialmente diseñado en el nodo del sistema, lo que podría dar lugar a la ejecución de código arbitrario.

CVE-2022-3682: Carga Sin Restricciones De Archivos De Tipo Peligroso (CWE-434)

En las versiones afectadas existe una vulnerabilidad en la validación de permisos de archivos. Un atacante podría explotar la vulnerabilidad ganando acceso al sistema y subir mensajes especialmente manipulados al nodo sistema, lo que podría resultar en ejecución de código arbitrario.

Los modelos afectados son:

    • MicroSCADA System Data Manager SDM600, versiones anteriores a:
      • 1.2 FP3 HF4 (Build Nr. 1.2.23000.291);
      • 1.3.0 (Build Nr. 1.3.0.1339).

Recomendaciones

    • 1.2 FP3 HF4 (Build Nr. 1.2.23000.291): actualizar a la versión 1.3.0.1339.
    • 1.3.0 (Build Nr. 1.3.0.1339): aplicar las medidas de mitigación listadas en el apartado 4 del aviso de CISA[1]

Referencias

[1] ICSA-23-096-05 – Hitachi Energy MicroSCADA System Data Manager SDM600

Posted on

[SCI] Múltiples vulnerabilidades críticas en productos de mySCADA

Introducción

El investigador Michael Heinzl ha publicado en Internet 5 vulnerabilidades, todas ellas de severidad crítica.

Análisis

Todas las vulnerabilidades descubiertas son de tipo Inyección de comandos de Sistema Operativo (OS Command Injection CWE-78).[1]

El producto mySCADA myPRO tiene parámetros los cuales un usuario no autenticado podría explotar para inyectar comandos arbitrarios de Sistema Operativo.

Los CVEs asignados son: CVE-2023-28400, CVE-2023-28716, CVE-2023-28384, CVE-2023-29169 y CVE-2023-29150.

El producto afectado es:

    • myPRO: versiones 8.26.0 y anteriores.

Recomendaciones

mySCADA recomienda a los usuarios actualizar a la versión 8.29.0 o superior[2].

Para más información contactar directamente con el soporte técnico de mySCADA. La empresa también ha enviado avisos de seguridad por email a todos los usuarios registrados.

Referencias

[1] ICSA-23-096-06 – mySCADA myPRO
[2] Downloads – mySCADA Technologies

Posted on

[SCI] Avisos de seguridad de Siemens de abril de 2023

Introducción

Siemens, en su comunicado mensual de parches de seguridad, ha emitido un total de 14 nuevos avisos de seguridad, recopilando un total de 26 vulnerabilidades entre las que se incluyen 4 de severidad crítica[1] [2] [3] .

Análisis

Las vulnerabilidades de severidad crítica identificadas se clasifican de la siguiente manera:

CVE-2023-28489: Neutralización incorrecta de elementos especiales utilizados en un comando (‘Command Injection’) (CWE-77)

Los dispositivos afectados son vulnerables a la inyección de comandos a través del puerto 443/tcp del servidor web, si el parámetro «Operación remota» está habilitado. El parámetro está desactivado por defecto. La vulnerabilidad podría permitir a un atacante remoto no autenticado realizar la ejecución de código arbitrario en el dispositivo.

CVE-2022-32207: Permisos predeterminados incorrectos (CWE-276)

Cuando curl < 7.84.0 guarda datos de cookies, alt-svc y hsts en archivos locales, hace que la operación sea atómica finalizando la operación con un renombrado de un nombre temporal al nombre final del archivo de destino. En esa operación de renombrado, podría ampliar accidentalmente los permisos para el archivo de destino, dejando el archivo actualizado accesible a más usuarios de los previstos.

CVE-2022-40674: Uso de memoria después de ser liberada (CWE-416)

Libexpat anterior a 2.4.9 tiene un use-after-free en la función doContent en xmlparse.c.

CVE-2020-35198: Desbordamiento de enteros o Wraparound (CWE-190)

Se ha descubierto un problema en Wind River VxWorks. El asignador de memoria tiene un posible desbordamiento de enteros al calcular el tamaño de un bloque de memoria que debe asignar calloc(). Como resultado, la memoria real asignada es menor que el tamaño del búfer especificado por los argumentos, lo que provoca la corrupción de la memoria.

Los modelos afectados son:

CVE-2023-28489:

      • CP-8031 MASTER MODULE (6MF2803-1AA00)
        • Todas las versiones < CPCI85 V05
      • CP-8050 MASTER MODULE (6MF2805-0AA00)
        • Todas las versiones < CPCI85 V05

CVE-2022-32207y CVE-2022-40674:

      • SCALANCE XCM332 (6GK5332-0GA01-2AC2)
        • Todas las versiones < V2.2

CVE-2020-35198:

      • Familias de switches SCALANCE X-200, X-200IRT y X-300, modelos concretos detallados en el aviso de Siemens SSA-813746[3].

Recomendaciones

Las actualizaciones que corrigen las vulnerabilidades indicadas pueden obtenerse desde el panel de descarga de Siemens[4].

Para los productos sin actualizaciones disponibles es recomendable aplicar las medidas de mitigación descritas en la sección de ‘Referencias’.

Referencias

[1] SSA-472454: Command Injection Vulnerability in CPCI85 Firmware of SICAM A8000 Devices
[2] SSA-558014: Third-Party Component Vulnerabilities in SCALANCE XCM332 before V2.2
[3] SSA-813746: BadAlloc Vulnerabilities in SCALANCE X-200, X-200IRT, and X-300 Switch Families
[4] Panel de descarga de Siemens

Posted on

Comienza la Campaña de la Renta 2022, comienza la oleada de ingeniería social

Campaña de la renta 2022

El pasado martes, 11 de abril, comenzó la Campaña de la Renta 2022, uno de los momentos preferidos por los ciberdelincuentes para suplantar a la Agencia Tributaria, a través de las variadas técnicas que proporciona la ingeniería social, en busca de nuevas víctimas.

Los atacantes se sirven del phishing (envío de mails), el smishing (envío de SMS), el vishing (llamadas fraudulentas), el qrishing (phishing oculto en códigos QR) y otras técnicas más, para incluir enlaces maliciosos con el fin de robar información personal de las víctimas como credenciales de inicio de sesión, datos bancarios o contraseñas.

Con esos datos personales, pueden usurpar la identidad a la víctima y realizar, por ejemplo, compras con el dinero de sus víctimas, solicitar prestaciones por desempleo falsas o presentar solicitudes de préstamo a nombre de otra persona, entre otras.

La ingeniería social es el arte del engaño. Utiliza técnicas de manipulación de la naturaleza humana para que realices alguna acción y el ciberdelincuente consiga su objetivo.

Normalmente, este tipo de ataques apelan a los sentimientos y emociones de las personas, y a 4 principios básicos de nuestro comportamiento:

  • Nuestra tendencia es la confianza hacia el otro.
  • A todos nos gusta que nos alaben.
  • No nos gusta decir NO.
  • Todos queremos ayudar.

Para evitar ciberestafas de ingeniería social relacionadas con la declaración de la renta, se recomienda seguir los siguientes consejos:

  • Verifica siempre el remitentede los correos electrónicos, los atacantes utilizan direcciones falsas y suelen camuflarlas. Ante la duda, no hagas clic en ningún enlace, no abras archivos adjuntos, no descargues ningún software y no respondas al mensaje, repórtalo a través del correo “csirtcv@gva.es” o elimínalo.
  • Desconfía de los correos con archivos adjuntos sospechosos, en especial si contienen supuestas facturas no solicitadas o impagadas. Llama siempre por teléfono al remitente (consulta los datos de contacto oficiales, no los del correo) para comprobar su autenticidad. Ante la duda, no descargues ni abras ningún adjunto.
  • ¿Popularidad inesperada? No agregues en tus redes sociales a contactos que no conocesde nada, pueden estar recopilando tu información para suplantar tu identidad u otros propósitos ilícitos.
  • Protege tus datos, no reveles información personal ni profesional como datos bancarios, contraseñas o números de tarjetas de crédito, a través de correos electrónicos, mensajes de texto, formularios de Internet, sorteos, llamadas telefónicas o conversaciones en público. Nunca sabes quién está al otro lado.
  • Utiliza la verificación en dos pasos, así, aunque consigan tu contraseña no podrán acceder a tu cuenta, ya que se requiere una segunda acción de verificación.
  • Evita hacer clic en enlaces que te llevan al inicio de sesiónde una web, podría ser un clon de la auténtica, diseñada para robar tus contraseñas.
  • Los atacantes pueden crear redes WIFI fraudulentascon el mismo nombre que las originales y acceder a tus datos de navegación. ¡Evita las redes sin contraseña!
  • Sé original con las preguntas de seguridadde recuperación de contraseñas: solo tú debes saber la respuesta. Preguntas y respuestas, cuanto más creativas mejor.
  • Descarga tu softwarey aplicaciones de fuentes oficiales, evita las descargas pirata o a través de enlaces no comprobados. Desactiva las descargas automáticas en tus dispositivos.
  • Usa software de seguridad en tu ordenador o dispositivo móvil, como antivirus, cortafuegos y software de protección contra phishing.
  • Si compras por Internet, hazlo en tiendas oficiales. Utilizar PayPal para pagar ofrece más seguridad al comprador. ¡Cuidado con descuentos y regalos! Si parece demasiado bueno para ser cierto, probablemente es una trampa.
  • Sé cauteloso con los mensajes de texto y de voz sospechosos. No respondas a los mensajes de texto o llamadas sospechosas que solicitan información personal o financiera. Recuerda que la Agencia Tributaria nunca solicita información personal o financiera a través de mensajes de texto o de voz.

ConcienciaT más: