Introducción
Rockwell Automation ha reportado nuevas vulnerabilidades, dos de ellas críticas, sobre sus productos Rockwell Automation Stratix 5800 y Stratix 5200 [1].
Análisis
Las vulnerabilidades de severidad crítica asociadas a los productos Rockwell afectados son las siguientes:
- CVE-2023-20198: Canal alternativo sin protección (CWE-420).
Rockwell Automation tiene conocimiento de la explotación activa de una vulnerabilidad previamente desconocida en la función de interfaz de usuario web del software Cisco IOS XE cuando se expone a Internet o a redes no confiables.
Esta vulnerabilidad permite que un atacante no autenticado y en remoto cree una cuenta en un sistema vulnerable con acceso de nivel de privilegio 15. El atacante podría potencialmente usar esta cuenta para ganar el control del sistema afectado.
- CVE-2023-43208: Neutralización incorrecta de elemento especiales usados en un comando ‘os’ (CWE-78).
Rockwell Automation tiene conocimiento de la explicación activa de una vulnerabilidad previamente desconocida en la función Web UI del software Cisco IOS XE cuando se expone a Internet o a redes no confiables.
Esta vulnerabilidad podría permitir a un atacante remoto autenticado inyectar comandos con los privilegios de root. Ésta se debe a una validación de entrada insuficiente.
Un atacante podría aprovecharse de esta vulnerabilidad enviando entradas falsificadas a la interfaz de usuario web. Una explotación exitosa podría permitir al atacante inyectar comandos al sistema operativo subyaciente con privilegios de root.
Productos afectados:
Las siguientes versiones de Stratix y el software Cisco IOS que contienen están afectadas:
- Stratix 5800 (corriendo el software Cisco IOS XE con la opción de Web UI activada): Todas las versiones.
- Stratix 5200 (corriendo el software Cisco IOS XE con la opción de Web UI activada): Todas las versiones.
Recomendaciones
Rockwell Automation recomienda encarecidamente a los usuarios que sigan la guía para deshabilitar los servidores Stratix HTTP en todos los sistemas que se conectan a Internet.
- Para deshabilitar la función de servidor HTTP, usa el comando no ip http server o no ip http secure-server en el modo de configuración global. Si tanto el servidor HTTP como el servidor HTTPS están en uso, se requieren ambos comandos para desactivar la función Servidor HTTP.
- Cisco Talos ha proporcionado Indicadores de Compromiso y reglas Snort que se pueden encontrar aquí [2].
- Las listas de control de acceso deben estar habilitadas para permitir sólo a direcciones IP específicas acceder a la Interfaz Web del dispositivo. Las instrucciones detalladas sobre cómo crear la lista de control de acceso se encuentran en QA67053 [3].
- Cuando se implementen controles de acceso para estos servicios, asegúrese de revisar los controles porque existe la posibilidad de que se interrumpan los servicios de producción.
Referencias
[1] CISA ICS ADVISORY Rockwell Automation Stratix 5800 and Stratix 5200[2] Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerabilities
[3] Instrucciones detalladas sobre cómo crear la lista de control de acceso – Rockwell