Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

[Actualización 22/03/2023] Control de acceso inadecuado en múltiples productos Hitachi Energy

Fecha de publicación 10/12/2021
Importancia
4 - Alta
Recursos Afectados
  • GMS600, versiones:
    • 1.2.0;
    • 1.3.0;
    • 1.3.1.0.
  • PWC600, versiones:
    • 1.1.0.0;
    • 1.1.0.1;
    • 1.0.1.0;
    • 1.0.1.1;
    • 1.0.1.3;
    • 1.0.1.4.
  • Relion 670/650 series, versiones:
    • 2.2.0, todas las revisiones;
    • 2.2.4, todas las revisiones;
    • 2.1, todas las revisiones.
  • Relion 670/650/SAM600-IO series, versiones:
    • 2.2.1, todas las revisiones;
    • 2.2.5, revisiones hasta 2.2.5.1.
  • Relion 670 series, versiones:
    • 2.2.2, todas las revisiones;
    • 2.2.3, revisiones hasta 2.2.3.4;
    • 2.0, todas las revisiones.
  • Relion 650 series, versiones:
    • 1.3, todas las revisiones;
    • 1.2, todas las revisiones;
    • 1.1, todas las revisiones;
    • 1.0, todas las revisiones.
Descripción

Un investigador del Departamento de Energía CyTRICS, del Laboratorio Nacional de Idaho, reportó esta vulnerabilidad alta, que podría permitir a un atacante, con credenciales de usuario, omitir los controles de seguridad del producto para realizar modificaciones no autorizadas en los datos/firmware, y/o a la desactivación permanente del producto.

Solución

Hitachi Energy recomienda actualizar a la última versión de su software cuando esté disponible:

  • Relion 650 series, versión 1.3: actualizar a 1.3.0.8;
  • Relion 650 series, versión 1.2: actualizar a 1.3.
Detalle

Un atacante podría explotar esta vulnerabilidad obteniendo primero las credenciales de cualquier cuenta o teniendo acceso a un ticket de sesión emitido para una cuenta. Después de obtener acceso a través de la herramienta de configuración que accede al protocolo propietario Open Data-Base Connectivity (ODBC) (TCP 2102), la tabla de la base de datos podría ser manipulada para la escalada de privilegios, que luego permitiría la modificación no autorizada o la desactivación permanente del dispositivo. Se ha asignado el identificador CVE-2021-35534 para esta vulnerabilidad.

Encuesta valoración