Introducción
Hir0ot y Piotr Bazydlo, de Trend Micro Zero Day Initiative, han informado de 4 vulnerabilidades, tres de ellas de crítica, que podrían permitir a un atacante ejecutar código arbitrario de forma remota y obtener credenciales de texto sin formato [1].
Análisis
Las vulnerabilidades de severidad crítica asociadas a los productos InfraSuite son las siguientes:
- CVE-2023-46690: Escritura fuera de limites (CWE-35).
Esta vulnerabilidad permite a un atacante escribir en cualquier archivo en cualquier ubicación del sistema de archivos, lo que podría conducir a la ejecución remota de código.
- CVE-2023-47207: Deserialización de datos no fiables (CWE-502).
Esta vulnerabilidad permite a un atacante no autenticado ejecutar código con privilegios de administrador local.
- CVE-2023-39226: Método o función peligroso expuesto (CWE-749).
Esta vulnerabilidad permite a un atacante no autenticado ejecutar código arbitrario a través de un único paquete UDP.
Productos afectados:
- InfraSuite Device Master: versiones 1.0.7 y anteriores.
Recomendaciones
Delta Electronics recomienda actualizar su software a la versión 1.0.10 o posterior [2].
Referencias
[1] CISA ICS ADVISORY Delta Electronics InfraSuite Device Master[2] InfraSuite_Device_Master_1.0.10