Publicado el por Industriales CSIRT-CV

[SCI] Múltiples vulnerabilidades en Power Monitor 1000 de Rockwell Automation

Introducción

Vera Mens, de Claroty Research – Team82, ha reportado 3 vulnerabilidades de severidad crítica, cuya explotación podría permitir a un atacante realizar operaciones de edición, crear usuarios administradores, realizar un restablecimiento de fábrica, ejecutar código arbitrario o causar una condición de denegación de servicio.[1]

Análisis

Las vulnerabilidades críticas encontradas son las siguientes[2]:

    • CVE-2024-12371 – Ausencia de autenticación para una función crítica  (CWE-306):
      Existe una vulnerabilidad de apropiación de dispositivos en Rockwell Automation Power Monitor 1000. Esta vulnerabilidad permite la configuración de un nuevo usuario titular de la póliza sin ninguna autenticación a través de API. El usuario titular de la póliza es el usuario con más privilegios que puede realizar operaciones de edición, crear usuarios administradores y realizar restablecimientos de fábrica.
    • CVE-2024-12372 – Control incorrecto de generación de código (Inyección de código) (CWE-94):
      Existe una vulnerabilidad de denegación de servicio y posible ejecución remota de código en Rockwell Automation Power Monitor 1000. La vulnerabilidad provoca la corrupción de la memoria del montón, lo que puede comprometer la integridad del sistema y permitir potencialmente la ejecución remota de código o un ataque de denegación de servicio.
    • CVE-2024-12373 – Copia de búfer sin comprobación del tamaño de entrada (Desbordamiento de búfer clásico) (CWE-94):
      Existe una vulnerabilidad de denegación de servicio en Rockwell Automation Power Monitor 1000. La vulnerabilidad genera un desbordamiento de búfer, lo que potencialmente causa una denegación de servicio.

La serie de productos afectados es:

    • PM1k 1408-BC3A-485: versiones anteriores a la 4.020;
    • PM1k 1408-BC3A-ENT: versiones anteriores a la 4.020;
    • PM1k 1408-TS3A-485: versiones anteriores a la 4.020;
    • PM1k 1408-TS3A-ENT: versiones anteriores a la 4.020;
    • PM1k 1408-EM3A-485: versiones anteriores a la 4.020;
    • PM1k 1408-EM3A-ENT: versiones anteriores a la 4.020;
    • PM1k 1408-TR1A-485: versiones anteriores a la 4.020;
    • PM1k 1408-TR2A-485: versiones anteriores a la 4.020;
    • PM1k 1408-EM1A-485: versiones anteriores a la 4.020;
    • PM1k 1408-EM2A-485: versiones anteriores a la 4.020;
    • PM1k 1408-TR1A-ENT: versiones anteriores a la 4.020;
    • PM1k 1408-TR2A-ENT: versiones anteriores a la 4.020;
    • PM1k 1408-EM1A-ENT: versiones anteriores a la 4.020;

Recomendaciones

Rockwell Automation ha corregido las vulnerabilidades reportadas en la versión de firmware 4.020, y recomienda a los usuarios actualizar a la última versión disponible.

Referencias

[1] ICSA-24-352-03: Rockwell Automation PowerMonitor 1000 Remote
[2] SD1714: PowerMonitor 1000 Remote Code Execution and denial-of-service Vulnerabilities via HTTP protocol