Introducción
Los investigadores de Tenable Network Security [1] han informado que existen tres vulnerabilidades: una de severidad crítica y dos de severidad alta que podrían permitir que un atacante realice una ejecución remota de código en el sistema o dispositivo de destino o bloquee el software.
Análisis
CVE-2023-28755: La vulnerabilidad de severidad crítica podría permitir a un atacante sobrescribir los archivos ejecutables existentes con contenidos maliciosos controlados por él, lo que podría provocar la ejecución remota de código[2] .
Las vulnerabilidades de severidad alta podrían permitir a un atacante remoto, no autenticado, descargar archivos arbitrarios en la unidad de disco donde está instalado ThinServer.exe y bloquear ThinServer.exe debido a una infracción de acceso de lectura. Se han asignado los identificadores CVE-2023-28756 y CVE-2023-28757 para estas vulnerabilidades.
Recomendaciones
Rockwell Automation ha publicado las siguientes actualizaciones para las versiones afectadas:
- Versiones 6.x – 10.x: estas versiones están retiradas. Los usuarios deben actualizar a una versión compatible.
- Versiones 11.0.0 – 11.0.5: Actualización a v11.0.6.
- Versiones 11.1.0 – 11.1.5: Actualización a v11.1.6.
- Versiones 11.2.0 – 11.2.6: Actualización a v11.2.7.
- Versiones 12.0.0 – 12.0.4: Actualización a v12.0.5.
- Versiones 12.1.0 – 12.1.5: Actualización a v12.1.6.
- Versiones 13.0.0 – 13.0.1: Actualización a v13.0.2.
Si los usuarios no pueden actualizar a la versión parcheada, pueden limitar el acceso remoto del puerto 2031/TCP a clientes y servidores ThinManager conocidos.
Referencias
[1] Tenable Network ThinManager de Rockwell Automation[2] ICSA-23-080-06 – ThinManager de Rockwell Automation