[SCI] Múltiples vulnerabilidades en productos Carlo Gavazzi Controls

Introducción

El fabricante de componentes electrónicos Carlo Gavazzi Controls S.p.A[1] ha reportado 11 vulnerabilidades en varios de sus productos, siendo 6 de severidad crítica, 4 altas y 1 media gracias al trabajo de la investigadora, Vera Mens, de Claroty Research, coordinada y apoyada para esta publicación por el CERT@VDE[2].

Análisis

Se han encontrado múltiples vulnerabilidades en la familia de controladores y gateways de monitorización UWP 3.0, que darían acceso completo de un atacante al dispositivo. Las vulnerabilidades más importantes son las siguientes, las cuales están clasificadas como críticas:

CVE-2022-22522: Un atacante remoto, no autenticado, podría hacer uso de las credenciales en texto claro para obtener acceso completo al dispositivo.

CVE-2022-22524: Un atacante remoto, no autenticado, podría utilizar una vulnerabilidad de inyección SQL para obtener acceso completo a la base de datos, modificar usuarios y detener servicios.

CVE-2022-22526: La falta de autenticación podría permitir el acceso completo a través de la API.

CVE-2022-28811: Un atacante remoto, no autenticado, podría utilizar una validación de entrada inadecuada en un parámetro enviado por la API para ejecutar comandos arbitrarios del sistema operativo.

CVE-2022-28812: Un atacante remoto, no autenticado, podría hacer uso de las credenciales en texto claro para obtener acceso de SuperUser al dispositivo.

CVE-2022-28814: El dispositivo afectado es vulnerable a un path traversal que podría permitir a los atacantes remotos leer archivos arbitrarios y obtener el control total del dispositivo.

Para el resto de vulnerabilidades se han asignado los identificadores: CVE-2022-28816, CVE-2022-22523, CVE-2022-28813, CVE-2022-22525 y CVE-2022-28815.

Recomendaciones

Las vulnerabilidades se resuelven actualizando los productos afectados a partir de la versión 8.5.0.3, disponible desde el 27 de abril de 2022.

Referencias

[1] https://gavazziautomation.com

[2] https://cert.vde.com/en/