[SCI] Múltiples vulnerabilidades en InfraSuite Device Master de Delta Electronics

Introducción

Hir0ot y Piotr Bazydlo, de Trend Micro Zero Day Initiative, han informado de 4 vulnerabilidades, tres de ellas de crítica, que podrían permitir a un atacante ejecutar código arbitrario de forma remota y obtener credenciales de texto sin formato [1].

Análisis

Las vulnerabilidades de severidad crítica asociadas a los productos InfraSuite son las siguientes:

    • CVE-2023-46690:  Escritura fuera de limites (CWE-35).

Esta vulnerabilidad permite a un atacante escribir en cualquier archivo en cualquier ubicación del sistema de archivos, lo que podría conducir a la ejecución remota de código.

    • CVE-2023-47207:  Deserialización de datos no fiables (CWE-502).

Esta vulnerabilidad permite a un atacante no autenticado ejecutar código con privilegios de administrador local.

    • CVE-2023-39226:  Método o función peligroso expuesto (CWE-749).

Esta vulnerabilidad permite a un atacante no autenticado ejecutar código arbitrario a través de un único paquete UDP.

Productos afectados:

      • InfraSuite Device Master: versiones 1.0.7 y anteriores.

Recomendaciones

Delta Electronics recomienda actualizar su software a la versión 1.0.10 o posterior [2].

Referencias

[1] CISA ICS ADVISORY Delta Electronics InfraSuite Device Master
[2] InfraSuite_Device_Master_1.0.10