Múltiples desbordamientos de búfer en LeviStudioU de Wecon
- LeviStudioU versiones 1.8.29 y 1.8.44
El equipo de seguridad de NSFOCUS y el investigador Mat Powell de Zero Day Initiative han reportado una serie de vulnerabilidades de tipo desbordamiento de búfer que afectan al software LeviStudioU del fabricante Wecon. Estas vulnerabilidades permitirían a un potencial atacante ejecutar código remoto bajo permisos de administrador.
Actualización 03/10/2018: El equipo de NSFOCUS y Ghirmay Desta de Zero Day Initiative, en colaboración con Jose Luis Zayas Banderas, reportaron nuevas vulnerabilidades del tipo desbordamiento de búfer basado en pila, desbordamiento de búfer basado en memoria dinámica (heap), escritura fuera de límites y restricción incorrecta de referencias de entidades externas XML
Se recomienda aislar los dispositivos que utilicen el software afectado y controlar los accesos que se tienen a los mismos.
Además, para proteger los recursos afectados se recomienda:
- Ayudar a minimizar la exposición de todos los dispositivos y/o sistemas de control tras cortafuegos y confirmar que los dispositivos y/o sistemas no poseen acceso a Internet.
- Separar las redes de control y los dispositivos industriales de las redes corporativas.
- Cuando sea necesario un acceso remoto, utilizar mecanismos de seguridad como Virtual Private Networks (VPN).
[Actualización 01/08/2018] Actualizar a la ultima versión de LeviStudioU puede solucionar algunas de las vulnerabilidades.
[Actualización 06/09/2018] Por el momento no existe una solución para las vulnerabilidades identificadas (referencias ZDI-18-989 al ZDI-18-997). Dada la naturaleza de la vulnerabilidad, la única medida de mitigación posible es restringir la interacción con la aplicación a ficheros confiables.
Algunos ficheros, como los UMP, HSC o los HGCM, no realizan un correcto tratamiento de la longitud en diferentes campos que contienen. Este hecho origina un desbordamiento de búfer. Otros ficheros más concretos, como UserMgr.xml, TTS.xml o ejecutables como UserManage.exe, etc., también tienen problemas a la hora de gestionar tanto parámetros como otros elementos que contienen.
Zero Day Initiative ha asignado los identificadores que van desde el ZDI-18-784 al ZDI-18-873 para estas vulnerabilidades críticas.
[Actualización 06/09/2018]
Desbordamiento de búfer: El fallo existe en diversos métodos de la aplicación que no validan adecuadamente la longitud de los datos facilitados por el usuario antes de copiarlos a un búfer de memoria de tamaño fijo (stack). Se ha reservado el identificador CVE-2018-10602 para esta vulnerabilidad.
Desbordamiento de búfer: El fallo existe en diversos métodos de la aplicación que no validan adecuadamente la longitud de los datos facilitados por el usuario antes de copiarlos a un búfer de memoria de tamaño fijo (heap). Se ha reservado el identificador CVE-2018-10606 para esta vulnerabilidad.
Zero Day Initiative ha asignado los identificadores que van desde el ZDI-18-989 al ZDI-18-997 para estas vulnerabilidades críticas.
[Actualización 27/09/2018]
Ejecución remota de código fuera de límites: El problema se debe a la falta de una validación adecuada de los datos proporcionados por el usuario, lo que puede dar como resultado una escritura más allá del final de un objeto asignado. Se ha reservado el identificador CVE-2018-10610 para esta vulnerabilidad.
Vulnerabilidad de divulgación de información de procesamiento: Debido a la restricción incorrecta de las referencias de XML External Entity (XXE), un documento especialmente diseñado que especifique una URI hace que el analizador XML acceda a la URI e incruste el contenido de nuevo en el documento XML para su posterior procesamiento. Se ha reservado el identificador CVE-2018-10614 para esta vulnerabilidad.
