[SCI] Múltiples vulnerabilitats en productes Carlo Gavazzi Controls

Introducció

El fabricant de components electrònics Carlo Gavazzi Controls S.p.A[1] ha reportat 11 vulnerabilitats en diversos dels seus productes, sent 6 de severitat crítica, 4 altes i 1 mitjana gràcies al treball de la investigadora, Vera Mens, de Claroty Research, coordinada i secundada per a aquesta publicació pel CERT@VDE[2].

Anàlisi

S’han trobat múltiples vulnerabilitats en la família de controladors i gateways de monitoratge UWP 3.0, que donarien accés complet d’un atacant al dispositiu. Les vulnerabilitats més importants són les següents, les quals estan classificades com a crítiques:

CVE-2022-22522: Un atacant remot, no autenticat, podria fer ús de les credencials en text clar per a obtindre accés complet al dispositiu.

CVE-2022-22524: Un atacant remot, no autenticat, podria utilitzar una vulnerabilitat d’injecció SQL per a obtindre accés complet a la base de dades, modificar usuaris i detindre serveis.

CVE-2022-22526: La falta d’autenticació podria permetre l’accés complet a través de la API.

CVE-2022-28811: Un atacant remot, no autenticat, podria utilitzar una validació d’entrada inadequada en un paràmetre enviat per l’API per a executar comandos arbitraris del sistema operatiu.

CVE-2022-28812: Un atacant remot, no autenticat, podria fer ús de les credencials en text clar per a obtindre accés de SuperUser al dispositiu.

CVE-2022-28814: El dispositiu afectat és vulnerable a un path traversal que podria permetre als atacants remots llegir arxius arbitraris i obtindre el control total del dispositiu.

Per a la resta de vulnerabilitats s’han assignat els identificadors: CVE-2022-28816, CVE-2022-22523, CVE-2022-28813, CVE-2022-22525 i CVE-2022-28815.

Recomanacions

Les vulnerabilitats es resolen actualitzant els productes afectats a partir de la versió 8.5.0.3, disponible des del 27 d’abril de 2022.

Referències

[1] https://gavazziautomation.com

[2] https://cert.vde.com/en/