Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en productos CIRCUTOR

Fecha de publicación 16/09/2024
Identificador
INCIBE-2024-0455
Importancia
5 - Crítica
Recursos Afectados
  • CIRCUTOR Q-SMT 1.0.4: versión firmware 1.0.4.
  • CIRCUTOR TCP2RS+: versión firmware 1.3b.
Descripción

INCIBE ha coordinado la publicación de 6 vulnerabilidades: 3 de severidad crítica, 1 alta y 2 medias, que afectan a los equipos Q-SMT y TCP2RS+ de CIRCUTOR: un dispositivo para la supervisión de consumos de subestaciones eléctricas y una pasarela orientada a la conversión del medio físico Ethernet a RS232 ó RS485.

Las vulnerabilidades han sido descubiertas por el equipo de ciberseguridad industrial de S21sec, mención especial a Aarón Flecha, Gabriel Vía Echezarreta (CVE-2024-8887, CVE-2024-8888, CVE-2024-8890 y CVE-2024-8891), Javier Fernandez Beré (CVE-2024-8889 y CVE-2024-8892) y Víctor Bello Cuevas (CVE-2024-8889 y CVE-2024-8892).

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector CVSS y tipo de vulnerabilidad CWE para cada vulnerabilidad:

  • CVE-2024-8887: 10 | CVSS:3.1 AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H | CWE-284.
  • CVE-2024-8888: 10 | CVSS:3.1 AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H | CWE-613.
  • CVE-2024-8889: 9.3 | CVSS:3.1 AV:N/AC:L/PR:N/UI:N/S:C/C:N/I:L/A:H | CWE-20.
  • CVE-2024-8890: 8.0 | CVSS:3.1 AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H | CWE-201.
  • CVE-2024-8891: 5.3 | CVSS:3.1 AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CWE-359.
  • CVE-2024-8892: 5.3 | CVSS:3.1 AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N | CWE-400.
Solución

CIRCUTOR Q-SMT, en su versión de firmware 1.0.5, solucionó eficazmente la posible amenaza. CIRCUTOR puso la nueva versión a disposición de sus clientes de forma privada y les recomienda encarecidamente que mantengan sus equipos actualizado.

En cuanto al dispositivo CIRCUTOR TCP2RS+ versión de firmware 1.3.b (2017), presenta 2 vulnerabilidades de seguridad explotables principalmente en redes de comunicación públicas, especialmente en redes no protegidas adecuadamente. CIRCUTOR recomienda encarecidamente sustituir el dispositivo TCP2RS+ por el actual Line-TCPRS1, tanto en entornos de redes privadas, como públicas.

Detalle
  • CVE-2024-8887: CIRCUTOR Q-SMT en su versión de firmware 1.0.4, podría verse afectado por un ataque de denegación de servicio (DoS) si un atacante con acceso al servicio web se salta los mecanismos de autenticación en la página de login, permitiendo al atacante utilizar todas las funcionalidades implementadas a nivel web que permiten interactuar con el dispositivo.
  • CVE-2024-8888: un atacante con acceso a la red donde se encuentra CIRCUTOR Q-SMT en su versión de firmware 1.0.4, podría robar los tokens utilizados en la web, ya que estos no tienen fecha de caducidad para acceder a la aplicación web sin restricciones. El robo de tokens puede originarse por diferentes métodos como capturas de red, información web almacenada localmente, etc.
  • CVE-2024-8889: vulnerabilidad en CIRCUTOR TCP2RS+ versión de firmware 1.3b, la cual podría permitir a un atacante modificar cualquier valor de la configuración, incluso si el dispositivo tiene activada la opción de autenticación usuario/contraseña, sin autenticación mediante el envío de paquetes a través del protocolo UDP y el puerto 2000, desconfigurando el dispositivo e inhabilitando así su uso. Este equipo está en el fin de ciclo de su vida útil.
  • CVE-2024-8890: un atacante con acceso a la red donde se encuentra el CIRCUTOR Q-SMT en su versión de firmware 1.0.4, podría obtener credenciales legítimas o robar sesiones debido a que el dispositivo sólo implementa el protocolo HTTP. Este hecho impide que se pueda establecer un canal de comunicación seguro.
  • CVE-2024-8891: un atacante sin conocimiento de los usuarios actuales en la aplicación web, podría construir un diccionario de usuarios potenciales y comprobar las respuestas del servidor, ya que indica si el usuario está presente o no en CIRCUTOR Q-SMT en su versión de firmware 1.0.4.
  • CVE-2024-8892: vulnerabilidad en CIRCUTOR TCP2RS+ versión de firmware 1.3b, la cual podría permitir a un atacante modificar cualquier valor de la configuración, incluso si el dispositivo tiene activada la opción de autenticación usuario/contraseña, sin autenticación mediante el envío de paquetes a través del protocolo UDP y el puerto 2000, desconfigurando el dispositivo e inhabilitando así su uso. Este equipo está en el fin de ciclo de su vida útil.
Listado de referencias