[SCI] Multiples vulnerabilitats detectadas en productes Delta Electronics

Introducció

ICS Advisory [1]  ha anunciat 6 vulnerabilitats, 2 de severitat crítica i 4 de severitat alta que podrien permetre a un atacant executar remotament codi o enviar ordres malicioses en dispositius de Delta Electronics.[2]

 

Anàlisi

CVE-2022-42139: El servidor web del dispositiu afectat és vulnerable a la injecció de comandaments a través de paràmetres POST. Un actor maliciós podria obtenir accés complet al sistema operatiu (SO) subjacent del dispositiu. Si el dispositiu actua com un dispositiu clau en una xarxa industrial, o controla diversos equips crítics a través de ports sèrie, l’atacant podria causar un gran dany a la xarxa corresponent. S’ha calculat una puntuació CVSS v3 de 9.9.

CVE-2023-0432: Aquesta vulnerabilitat, de severitat crítica podria permetre que un actor d’amenaces amb privilegis baixos obtingui accés de root al dispositiu, cosa que podria permetre enviar comandaments maliciosos als dispositius administrats o també l’execució remota de codi sense necessitat d’estar autenticat. S’ha assignat una puntuació base CVSS v3 de 9.0.

 

Recomanacions

Delta Electronics va corregir aquestes vulnerabilitats i recomana que tots els usuaris actualitzin el firmware dels dispositius afectats a les següents versions o posteriors.

    • versió 1.3.0 de DIAScreen (es requereix inici de sessió).
    • versió 2.5.2 de DVW-W02W2-E2.
    • versió 1.5.0.12 DX-2100-L1-CN.

 

Referències

[1] ICS Advisory (ICSA-23-033-04)
[2] ICS Advisory (ICSA-23-033-05)