Introducció
Hir0ot i Piotr Bazydlo, de Trend Micro Zero Day Initiative, han informat de 4 vulnerabilitats, tres d’elles de crítica, que podrien permetre a un atacant executar codi arbitrari de manera remota i obtindre credencials de text sense format [1].
Anàlisi
Les vulnerabilitats de severitat crítica associades als productes InfraSuite són les següents:
- CVE-2023-46690: Escriptura fora de limites (CWE-35).
Esta vulnerabilitat permet a un atacant escriure en qualsevol arxiu en qualsevol ubicació del sistema d’arxius, la qual cosa podria conduir a l’execució remota de codi.
- CVE-2023-47207: Deserialización de dades no fiables (CWE-502).
Esta vulnerabilitat permet a un atacant no autenticat executar codi amb privilegis d’administrador local.
- CVE-2023-39226: Mètode o funció perillós exposat (CWE-749).
Esta vulnerabilitat permet a un atacant no autenticat executar codi arbitrari a través d’un únic paquet UDP.
Productes afectats:
- InfraSuite Device Màster: versions 1.0.7 i anteriors.
Recomanacions
Delta Electronics recomana actualitzar el seu software a la versió 1.0.10 o posterior [2].
Referències
[1] CISA ICS ADVISORY Delta Electronics InfraSuite Device Master[2] InfraSuite_Device_Master_1.0.10