[SCI] Multiples vulnerabilidades detectadas en productos Delta Electronics

Introducción

ICS Advisory [1]  ha anunciado 6 vulnerabilidades, 2 de severidad crítica y 4 de severidad alta que podrían permitir a un atacante ejecutar remotamente código o enviar comandos maliciosos en dispositivos de Delta Electronics.[2]

 

Análisis

CVE-2022-42139: El servidor web del dispositivo afectado es vulnerable a la inyección de comandos autenticados a través de parámetros POST. Un actor malicioso podría obtener acceso completo al sistema operativo (SO) subyacente del dispositivo. Si el dispositivo actúa como un dispositivo clave en una red industrial, o controla varios equipos críticos a través de puertos serie, el atacante podría causar un gran daño en la red correspondiente. Se ha calculado una puntuación CVSS v3 de 9,9.

CVE-2023-0432: Esta vulnerabilidad, de severidad crítica podrían permitir que un actor de amenazas con privilegios bajos obtenga acceso de root al dispositivo, lo que podría permitirle enviar comandos maliciosos a los dispositivos administrados o también la ejecución remota de código sin necesidad de estar autenticado. Se ha asignado una puntuación base CVSS v3 de 9,0.

 

Recomendaciones

Delta Electronics corrigió estas vulnerabilidades y recomienda que todos los usuarios actualicen el firmware de los dispositivos afectados a las siguientes versiones o posteriores.

    • versión 1.3.0 de DIAScreen (se requiere inicio de sesión).
    • versión 2.5.2 de DVW-W02W2-E2.
    • versión 1.5.0.12 DX-2100-L1-CN.

 

Referencias

[1] ICS Advisory (ICSA-23-033-04)
[2] ICS Advisory (ICSA-23-033-05)