Introducció
Rockwell Automation ha reportat noves vulnerabilitats sobre els seus productes Rockwell Automation Stratix 5800 i Stratix 5200 [1].
Anàlisi
Les vulnerabilitats de severitat crítica associades als productes Rockwell afectats són les següents:
- CVE-2023-20198: Canal alternatiu sense protecció (CWE-420).
Rockwell Automation té coneixement de l’explotació activa d’una vulnerabilitat prèviament desconeguda en la funció d’interfície d’usuari web del programari Cisco IOS XE quan s’exposa a Internet o a xarxes no de confiança.
Esta vulnerabilitat permet que un atacant no autenticat i en remot cree un compte en un sistema vulnerable amb accés de nivell de privilegi 15. L’atacant podria potencialment usar este compte per a guanyar el control del sistema afectat.
- CVE-2023-43208: Neutralització incorrecta d’element especials usats en un comando ‘os’ (CWE-78).
Rockwell Automation té coneixement de l’explicació activa d’una vulnerabilitat prèviament desconeguda en la funció Web UI del programari Cisco IOS XE quan s’exposa a Internet o a xarxes no de confiança.
Esta vulnerabilitat podria permetre a un atacant remot autenticat injectar comandos amb els privilegis de root. Esta vulnerabilitat es deu a una validació d’entrada insuficient.
Un atacant podria aprofitar-se d’esta vulnerabilitat enviant entrades falsificades a la interfície d’usuari web. Una explotació reeixida podria permetre a l’atacant injectar comandos al sistema operatiu subyaciente amb privilegis de root.
Productes afectats:
Les següents versions de Stratix i el programari Cisco IOS que contenen estan afectades:
- Stratix 5800 (corrent el programari Cisco IOS XE amb l’opció de Web UI activada): Totes les versions.
- Stratix 5200 (corrent el programari Cisco IOS XE amb l’opció de Web UI activada): Totes les versions.
Recomanacions
Rockwell Automation recomana encaridament als usuaris que perseguisquen la guía per a deshabilitar els servidors Stratix HTTP en tots els sistemes que es connecten a Internet.
- Per a deshabilitar la funció de servidor HTTP, usa el comando no ip http server o no ip http secure-server en el mode de configuració global. Si tant el servidor HTTP com el servidor HTTPS estan en ús, es requereixen tots dos comandos per a desactivar la funció Servidor HTTP.
- Cisco Talos ha proporcionat Indicadors de Compromís i regles Snort que es poden trovar ací [2].
- Les llistes de control d’accés han d’estar habilitades per a permetre només a adreces IP específiques accedir a la Interfície Web del dispositiu. Les instruccions detallades sobre com crear la llista de control d’accés es troben en QA67053 [3].
- • Quan s’implementen controls d’accés per a estos serveis, assegure’s de revisar els controls perquè existeix la possibilitat que s’interrompen els serveis de producció.
Referencies
[1] CISA ICS ADVISORY Rockwell Automation Stratix 5800 and Stratix 5200[2] Active exploitation of Cisco IOS XE Software Web Management User Interface vulnerabilities
[3] Instrucciones detalladas sobre cómo crear la lista de control de acceso – Rockwell