[SCI] Vulnerabilidades críticas en DIAEnergie de Delta Electronics

Introducció

Tenable ha publicat 3 vulnerabilitats que podrien derivar en una execució remota SQLi a través d’un dels seus camps.[1]

Anàlisi

L’executable CEBC.exe escolta per TCP en el port 928 i accepta comandos en forma de cadena de caràcters. Les vulnerabilitats de severitat critiques associades a DIAEnergie són les següents:

    • CVE-2024-4547: Control inadequat del missatge “RecalculateScript” (“injecció de codi”) (CWE-20):
      Quan es processa el missatge “RecalculateScript”, existix una vulnerabilitat en separar el missatge pel caràcter ‘~’. Un atacant pot injectar codi en el quart camp del missatge sense la necessitat d’autenticar-se.
    • CVE-2024-4548: Control inadequat del missatge “RecalculateHDMWYC” (“injecció de codi”) (CWE-20):
      Quan es processa el missatge “RecalculateHDMWYC”, existix una vulnerabilitat en separar el missatge pel caràcter ‘~’. Un atacant pot injectar codi en el quart camp del missatge sense la necessitat d’autenticar-se.
    • CVE-2024-4549:  Denegació de Servici sense identificació:
      Un atacant pot enviar la cadena de caràcters “ICS Restart!” i d’esta manera reiniciar el sistema.

La sèrie de productes afectats és:

    • Delta Electronics DIAEnergie CEBC.exe, v1.10.1.8610 i anteriors.

Recomanacions

La solució per als productes afectats és actualitzar DIAEnergie a la versió v1.10.01.004 o posterior.

Referències

[1] Delta Electronics DIAEnergie CEBC.exe Multiple Vulnerabilities

Política de Privacidad

CSIRT-CV és un centre per a la prestació de servicis de ciberseguretat adscrit a la Conselleria d’Hisenda, Economia i Administració Pública.

CSIRT-CV l’informa sobre la seua política de privacitat respecte al tractament de les dades personals en interacció amb el present lloc Web (https://www.csirtcv.gva.es/). L’objectiu d’esta Política és informar les persones interessades sobre els diferents tractaments de dades personals realitzades per l’organització a través de la Web, en compliment del que s’establix en:

    • El Reglament (UE) 2016/679 del Parlament Europeu i del Consell, de 27 d’abril de 2016.
    • La Llei orgànica 3/2018, de 5 de diciembre, de Protecció de Dades Personals i garantia dels drets digitals.

Dades de contacte del responsable

    • Conselleria d’Hisenda, Economía i Administració Pública
    • CIF: S4611001A
    • C/ Palau 12, 46003, València, (València).

Adreça de CSIRT-CV

    • Joan Reglà, 6 baix, 46010, València, (València)
    • +34 96 398 5300

Finalitats

Tractarem les seues dades personals amb diferents finalitats a través del nostre formulari de contacte, de l’adreça de correu electrònic existent en la Web (csirtcv@gva.es), o de les telefonades realitzades. Les finalitats són les següents:

    • Atendre sol·licituds, queixes o altres incidències.
    • Protegir i exercir els nostres drets i/o respondre davant reclamacions de qualsevol índole.
    • Gestionar les sol·licituds relacionades amb els servicis que presta CSIRT-CV.
    • Subscriure’s a butlletins i alertes de seguretat.
    • Complir amb les obligacions legals que ens resulten directament aplicables i regulen la nostra activitat.

Bases jurídiques

La licitud del tractament se sustenta en les causes següents:

    • Consentiment. El prestat per a resoldre els dubtes i atendre altres sol·licituds, queixes, subscripcions i incidències. Sense consentiment de l’interessat, no es desenvoluparà cap tractament amb les finalitats esmentades.
    • Interés legítim. En interés a protegir la imatge, reputació i activitat de CSIRT-CV evitant atacs a la web, plantejant la corresponent denúncia o responent davant possibles reclamacions. En este cas, la persona interessada no podrà negar-se al tractament de les seues dades personals, però podrà exercir tots els drets que la normativa de protecció de dades li concedix.
    • Obligació legal. Per a complir amb les obligacions legals que siguen aplicables. En este cas, la persona interessada no podrà negar-se al tractament de les seues dades personals.

Terminis de conservació

Les dades personals proporcionades es conservaran durant el temps necessari per a complir amb les finalitats anteriorment esmentades.

Una vegada deixen de ser necessàries per al tractament en qüestió, seran suprimides, o es mantindran bloquejades per a, si és el cas, posar-les a la disposició de les Administracions i Organismes Públics competents, Jutges i Tribunals o Ministeri Fiscal, durant el termini de prescripció de les accions que pogueren derivar-se de la relació mantinguda amb l’usuari i/o terminis de conservació legalment previstos.

Destinataris

Durant el període de duració del tractament de les seues dades personals, el Centre no cedirà les seues dades, excepte obligació legal: Jutges i Tribunals, Forces i Cossos de Seguretat de l’Estat, altres autoritats o organismes públics competents.

Transferència internacional de dades

Les dades obtingudes per CSIRT-CV no seran objecte de transferències internacionals i, per tant, la seua custòdia i tractament es durà a terme dins de la UE i l’Espai Econòmic Europeu.

Drets

Les persones interessades podran exercir en qualsevol moment i de manera gratuïta ‒llevat que esta sol·licitud siga manifestament infundada, excessiva o repetitiva‒ els drets següents:

    • Accés. La persona usuària pot conéixer quina informació es té, d’on s’ha obtingut, a qui s’ha facilitat i amb quins usos.
    • Rectificació. La persona usuària pot rectificar dades errònies o desactualitzades.
    • Supressió. La persona usuària pot sol·licitar que es deixen de tractar les seues dades.
    • Oposició. La persona usuària pot sol·licitar que les seues dades deixen de ser tractades amb diverses finalitats: d’interés públic o interés legítim, de màrqueting directe, elaboració de perfils…
    • Limitació. La persona usuària pot restringir el tractament de les seues dades, i només podran ser tractades, amb excepció de la seua conservació, amb el seu consentiment o per a la formulació, exercici o defensa de reclamacions, i també amb la intenció de la protecció de drets de tercers i per interés públic.
    • Portabilitat. La persona usuària pot obtindre una còpia de les seues dades en format electrònic i, en determinades circumstàncies, sol·licitar que siguen comunicades a un altre prestador de servicis. Aplicable únicament a tractaments automatitzats en virtut del consentiment de l’usuari o per al compliment d’un contracte.

D’altra banda, també podran exercir:

    • El dret a no ser objecte de decisions individuals automatitzades, inclosa l’elaboració de perfils, si escau.
    • El dret a revocar el consentiment en qualsevol moment, sense que afecte la licitud del tractament anterior.
    • El dret a presentar una reclamació davant l’autoritat de control, en este cas, l’Agència Espanyola de Protecció de Dades (www.agpd.es).

Per a exercir estos drets podrà dirigir-se per escrit a la nostra adreça postal o a l’adreça de correu electrònic (csirtcv@gva.es).

Si vosté s’ha subscrit al nostre servici de butlletins i alertes de seguretat, pot donar-se de baixa en l’adreça electrònica següent: csirtcv@gva.es, amb l’assumpte «Baixa», a través del formulari habilitat a este efecte, o bé donant-se de baixa directament a través de la seua plataforma de correu electrònic fent clic en l’apartat «Donar-se de baixa».

Exactitud de les dades

La persona interessada garantix que les dades aportades són verdaderes, exactes, completes i actualitzades. En cas contrari, es compromet a informar sobre qualsevol canvi respecte a les aportades, a través dels canals habilitats per a això en la present política. Serà responsable dels danys o perjuís, directes i indirectes, ocasionats pel seu incompliment.

En el cas que l’USUARI facilite dades de tercers, declara que compta amb el consentiment de les persones interessades i es compromet a traslladar-li la informació continguda en esta Política, eximint l’organització de qualsevol responsabilitat derivada de l’incompliment d’esta obligació.

Vigència

La present Política de privacitat s’actualitzarà en funció de les exigències legals establides i de les directrius de l’Agència Espanyola de Protecció de Dades. Les seues modificacions seran adequadament publicades en la Web.

Davant qualsevol dubte sobre la interpretació d’esta política, pot contactar amb CSIRT-CV, en l’adreça de correu electrònic (csirtcv@gva.es).

Aviso legal

De conformitat amb el que s’establix en la Llei 34/2022, d’11 de juliol, de servicis de la societat de la informació i de comerç electrònic, es facilita la informació següent:

Dades identificatives

Vosté està visitant la pàgina web csirtcv.gva.es titularitat del Centre de Seguretat TIC de la Comunitat Valenciana (CSIRT-CV). CSIRT-CV està adscrit a la Direcció General de Tecnologies de la Informació i les Comunicacions dins de la Conselleria d’Hisenda, Economia i Administració Pública, amb domicili social en C/ Joan Reglà, núm. 6 baix, 46010 València, amb CIF S4611001A.

Podrà contactar amb el TITULAR a través de:

• Telèfon: +34 96 398 5300
• Correu electrònic: csirtcv@gva.es

Condicions d’ús

1. Acceptació. Les presents condicions (AVÍS LEGAL) tenen per finalitat regular l’ús de la pàgina web del Titular. L’accés i/o ús d’esta pàgina web li atribuïx la condició d’usuari, que accepta, des d’este accés i/o ús, les presents condicions d’ús.

2. Ús del portal. https://www.csirtcv.gva.es/ proporciona accés a informacions, servicis o dades (d’ara endavant, els CONTINGUTS) en Internet pertanyents al TITULAR o als llicenciadors als quals l’USUARIO pot tindre accés.

L’usuari serà el responsable de l’ús del portal. Així mateix, esta responsabilitat s’estén al registre que fora necessari per a accedir a determinats continguts o servicis.

D’altra banda, l’usuari es fa responsable de l’ús adequat dels servicis o continguts (per exemple, xats, fòrums de discussió, grups de notícies…) que el TITULAR oferix a través del portal i, amb caràcter enunciatiu, però no limitatiu, a no emprar-los per a:

        • Dur a terme activitats il·lícites, il·legals o contràries a la bona fe i orde públic.
        • Difondre continguts o propaganda racista, xenòfoba, pornogràfics-il·legals, contra els drets i interessos de tercers.
        • Provocar danys als sistemes físics i lògics de csirtcv.gva.es dels seus proveïdors o terceres persones, i també d’infectar amb malware xarxes, equips informàtics i altres arxius o continguts emmagatzemats.
        • Intentar accedir als comptes d’altres usuaris i manipular missatges.
        • Utilitzar el lloc web o informacions contingudes en la web amb finalitats comercials, polítiques o publicitàries.

En qualsevol cas, CSIRT-CV no serà responsable de les opinions realitzades pels usuaris a través del sistema de comentaris, xarxes socials o altres ferramentes de participació, conforme al que es preveu en la normativa d’aplicació.

3. Responsabilitat. L’USUARIO reconeix que l’ús que faça de la web i dels seus continguts i servicis es desenvolupa sota la seua exclusiva responsabilitat. En particular, a títol enunciatiu, el TITULAR no assumix cap responsabilitat respecte a:

        • La disponibilitat de la web, la seua qualitat o interoperabilitat.
        • La finalitat de la web respecte als objectius de l’USUARI.
        • La infracció per part de l’USUARI o tercers i, en concret, dels drets de propietat intel·lectual i industrial de titularitat d’altres persones o entitats.
        • La transmissió o enviament a través del lloc Web de qualsevol contingut il·legal, o il·lícit, malware, o missatges que, en general, afecten o violen drets del TITULAR o de tercers.
        • L’accés fraudulent als continguts o servicis per tercers no autoritzats o, si és el cas, la captura, eliminació, alteració, modificació o manipulació dels missatges i comunicacions de qualsevol classe que els esmentats terceres pogueren realitzar.
        • L’exactitud, veracitat, actualitat i utilitat dels continguts i servicis oferits i la utilització posterior que en faça l’USUARI. El TITULAR emprarà tots els esforços i mitjans raonables per a facilitar la informació actualitzada i fefaent.
        • Els danys produïts a equips informàtics durant l’accés a la pàgina web i els danys produïts als USUARIS quan tinguen el seu origen en fallades o desconnexions en les xarxes de telecomunicacions que interrompen el servici.
        • Els danys o perjuís que es deriven de circumstàncies esdevingudes per cas fortuït o força major, i també els derivats de la utilització de la informació del lloc Web o de la continguda en les xarxes socials del TITULAR.

4. Enllaços. En cas que la web https://www.csirtcv.gva.es/ incloga enllaços cap a altres llocs d’Internet, el TITULAR no assumix cap control sobre estos llocs i continguts. Per tant, el TITULAR no assumix cap responsabilitat pels continguts dels enllaços pertanyents al lloc web alié, ni garantirà la disponibilitat tècnica, qualitat, fiabilitat, exactitud, veracitat, validesa o constitucionalitat de la seua informació. De la mateixa manera, la inclusió d’estos enllaços externs en la web no implicarà cap mena d’associació amb estes entitats.

5. Exclusió. El TITULAR es reserva el dret a denegar o retirar l’accés al portal i/o els servicis oferits sense necessitat d’advertiment previ a aquells usuaris que incomplisquen el contingut d’este avís legal.

6. Modificació. El TITULAR es reserva el dret a efectuar sense previ avís les modificacions que considere oportunes en el seu portal, tant de continguts com de servicis, com la forma en la qual estos apareixen o la seua localització.

7. Duració. Estes condicions estaran vigents fins que siguen modificades per unes altres degudament publicades.

8. Compliment. El TITULAR adoptarà les mesures que siguen necessàries per al compliment d’estes condicions, i exercirà qualssevol altres accions civils i penals derivades del seu incompliment.

Mesures de seguretat

Per a protegir la confidencialitat de la informació i dades personals en trànsit, el lloc web del TITULAR compta amb un certificat vàlid emés per una autoritat de confiança. Este certificat protegix la informació transmesa a través dels formularis web fins al servidor, o les dades introduïdes per a la subscripció de butlletins de notícies o accés a les àrees protegides, etc.

Per a identificar la connexió segura, en la barra d’adreces, on està l’URL https://www.csirtcv.gva.es/, apareix en el costat esquerre un símbol d’estat de la seguretat. Això significa que quan vas entrar en la nostra web, el teu navegador i el nostre servidor web van establir una connexió segura HTTPS.

D’altra banda, quant a la protecció de les dades personals, la seua obtenció i tractament seguirà el que s’establix en la normativa vigent, tal com s’arreplega en la Política de Privacitat de la Web, i també en la Política de Cookies d’esta. D’igual manera, CSIRT-CV assumix totes les mesures d’índole tècnica, organitzativa i de seguretat que garantisquen la confidencialitat, integritat i qualitat d’estes dades.

No obstant això, encara que s’adopten tots els mitjans necessaris i mesures de seguretat oportunes per a evitar possibles incidents, l’USUARI ha de saber que la seguretat no és absolutament fiable i, per tant, no es pot garantir la inexistència de malware o altres elements que puguen produir alteracions en els actius informàtics de l’usuari o en els seus documents o fitxers.

Propietat intel·lectual i industrial

El TITULAR és propietari de tots els drets de propietat intel·lectual i industrial de la pàgina web, i també dels elements continguts en esta (a títol enunciatiu: imatges, fotografies, so, àudio, vídeo, marques, logotips, combinacions de colors, estructura i disseny, materials usats, etc.), titularitat del TITULAR o dels seus llicenciadors.

Tots els drets reservats. Queda prohibida la reproducció, comunicació i difusió dels continguts o qualsevol altre ús que tinga una finalitat pública o comercial sense el consentiment previ exprés i per escrit de CSIRT-CV.

Així mateix, per a poder instal·lar o utilitzar qualsevol software que es trobe disponible per a la seua descàrrega des d’este portal, han d’acceptar-se prèviament els termes del Contracte de Llicència, si n’hi haguera, que acompanye o s’incloga en el software.

Legislació aplicable i jurisdicció

La relació entre el TITULAR i l’USUARI es regirà per la normativa espanyola vigent. Les disputes i reclamacions derivades de l’ús, contingut i servicis d’este portal web es resoldran pels Jutjats i Tribunals espanyols de València (València).

Trillion

Consultar avisos de fugida d’informació en servei Trillion

En CSIRT-CV (Centre de Seguretat TIC de la Comunitat Valenciana) utilitzem el servei de Trillion, pertanyent a Threat Estatus, el qual monitora fuites o robatoris d’informació d’usuaris i contrasenyes d’accés a serveis en línia de tercers, fòrums i serveis en el núvol, que són utilitzats posteriorment pels cibercriminals per a dur a terme diferents tipus d’atacs.

Si ha rebut un correu com el que s’indica a continuació, significa que el seu compte de correu, i pot ser que també la seua contrasenya, han sigut identificats en alguna d’aqueixes fuites o robatoris d’informació. Revise les seues dades i verifique si els accessos a serveis en línia amb el seu compte de correu i/o contrasenyes identificades són reals, o ho van ser en el passat.

Per a accedir a la interfície de Trillion, has de prémer en l’enllaç següent, la qual cosa obrirà una finestra com la que es pot veure en la imatge següent (el fons pot variar, segons la manera fosca o clara):  https://mydata.threatstatus.com/

En el web que s’obri, ha d’introduir el codi alfanumèric (codi d’accés) que li va arribar per correu.

A continuació, li demanarà confirmar el compte de correu a la qual li va arribar la notificació (el seu compte de correu de GVA).

Una vegada accedisca al web de Trillion, si observa que la interfície web no està en idioma espanyol pot canviar-lo prement en el següent botó:

Li apareixerà un llistat de serveis afectats per bretxes de seguretat en els quals apareix el seu compte de correu, així com les dades incloses en aquesta publicació d’informació, incloent-hi contrasenyes, si n’hi haguera.

En l’apartat corresponent a cada alerta podrà comprovar en quines pàgines web s’ha detectat un possible compromís de les seues dades, i amb la icona roja s’indica quin tipus de dades s’ha vist afectat. Si apareix més d’una, no oblide revisar-les totes.

Únicament vosté podrà verificar en la part inferior del web, si la contrasenya que s’ha vist vulnerada és realment seua i així respondre a les preguntes que se li fan. Prema sobre el botó blau que apareix en la part inferior amb el text “Revisar contrasenya”.

A vegades, la informació no és completament fiable perquè pot provindre de fòrums de ciberdelinqüència, fuites o robatoris antics, o potser els responsables de la publicació d’informació només estan tractant de buscar la difusió de desinformació.

Per a això, per cadascun dels serveis haurà de verificar la validesa de la informació obtinguda, triant entre les opcions següents:

IMPORTANT: Si ha utilitzat la contrasenya observada en les bretxes en sistemes o serveis corporatius vaig marcar l’opció “Sí” per a procedir a una anàlisi en profunditat sobre el cas.

Aquest qüestionari arribarà a CSIRT-CV per a determinar quines accions són necessàries prendre i fer un seguiment de les possibles credencials compromeses. Prema el botó blau “Ok”.

Una vegada revisat cadascun dels casos en els quals va poder veure’s compromesa la seua credencial, apareixerà una pestanya indicant que l’alerta està revisada i no n’hi ha més en espera de revisió. Comprove que les ha revisades totes i no en falta cap.

Finalment, no oblide eixir de la sessió prement en el botó que apareix en la part superior dreta on s’indica Tancar sessió.

Independentment del resultat de les comprovacions realitzades amb Trillion, li recomanem que canvie les credencials tant del servei afectat com d’altres serveis en els quals puga tindre la mateixa contrasenya.

En els enllaços següents pot trobar algunes recomanacions de seguretat, així com una guia d’ús de gestors de contrasenyes que l’ajudarà a poder gestionar les seues credencials de forma més segura.