Múltiples vulnerabilidades en productos de Ormazabal

Fecha de publicación 22/08/2023
Importancia
5 - Crítica
Recursos Afectados

Versión firmware 601j de los siguientes dispositivos:

  • ekorCCP,
  • ekorRCI.
Descripción

INCIBE ha coordinado la publicación de 10 vulnerabilidades en los dispositivos industriales ekorCCP y ekorRCI de Ormazabal, las cuales han sido descubiertas por el equipo de Ciberseguridad Industrial de S21sec, mención especial a Jacinto Moral Matellán.

A estas vulnerabilidades se les han asignado los siguientes códigos:

  • CVE-2022-47553:
    • Puntuación base CVSS v3.1: 8,6.
    • Cálculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N.
    • Tipo de vulnerabilidad: CWE-285: Improper Authorization.
  • CVE-2022-47554:
    • Puntuación base CVSS v3.1: 8,2.
    • Cálculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N.
    • Tipo de vulnerabilidad: CWE-200: Exposure of Sensitive Information to an Unauthorized Actor.
  • CVE-2022-47555:
    • Puntuación base CVSS v3.1: 9,3.
    • Cálculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:L/A:N.
    • Tipo de vulnerabilidad: CWE-78: Improper Neutralization of Special Elements used in an OS Command.
  • CVE-2022-47556:
    • Puntuación base CVSS v3.1: 6,5.
    • Cálculo del CVSS: AV:N/AC:L/PR:L /UI:N/S:U/C:N/I:N/A:H.
    • Tipo de vulnerabilidad: CWE-400: Uncontrolled Resource Consumption.
  • CVE-2022-47557:
    • Puntuación base CVSS v3.1: 6,1.
    • Cálculo del CVSS: AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:L/A:N.
    • Tipo de vulnerabilidad: CWE-916: Use of Password Hash With Insufficient Computational Effort.
  • CVE-2022-47558:
    • Puntuación base CVSS v3.1: 9,4.
    • Cálculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L.
    • Tipo de vulnerabilidad: CWE-284: Improper Access Control.
  • CVE-2022-47559:
    • Puntuación base CVSS v3.1: 8,6.
    • Cálculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L.
    • Tipo de vulnerabilidad: CWE-352: Cross-Site Request Forgery (CSRF).
  • CVE-2022-47560:
    • Puntuación base CVSS v3.1: 5,7.
    • Cálculo del CVSS: AV:A/AC:L/PR:N/UI:R/S:U/C:H/I:N/A:N.
    • Tipo de vulnerabilidad: CWE-319: Cleartext Transmission of Sensitive Information.
  • CVE-2022-47561:
    • Puntuación base CVSS v3.1: 7,3.
    • Cálculo del CVSS: AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:L.
    • Tipo de vulnerabilidad: CWE-256: Unprotected Storage of Credentials.
  • CVE-2022-47562:
    • Puntuación base CVSS v3.1: 7,5.
    • Cálculo del CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H.
    • Tipo de vulnerabilidad: CWE-770: Allocation of Resources Without Limits or Throttling.
Solución

Los dispositivos afectados se encuentran en el fin de ciclo de su vida útil. Ormazabal recomienda actualizar a los modelos actualizados.

Detalle

Vulnerabilidades que afectan, tanto a ekorCCP como a ekorRCI:

  • CVE-2022-47553: autorización incorrecta, la cual podría permitir a un atacante remoto obtener recursos con información sensible para la organización, sin estar autenticado dentro del servidor web.
  • CVE-2022-47554: exposición de información sensible, pudiendo permitir a un atacante remoto obtener información crítica de diferentes archivos .xml, incluyendo archivos .xml conteniendo credenciales, sin estar autenticado dentro del servidor web.
  • CVE-2022-47555: inyección de comandos del sistema operativo, lo que podría permitir a un atacante autenticado ejecutar comandos, crear nuevos usuarios con privilegios elevados o configurar una puerta trasera.
  • CVE-2022-47557: vulnerabilidad que podría permitir a un atacante con acceso a la red donde se encuentra el dispositivo, descifrar las credenciales de usuarios privilegiados, y posteriormente obtener acceso al sistema para ejecutar acciones maliciosas.
  • CVE-2022-47558: los dispositivos son vulnerables debido al acceso al servicio FTP utilizando credenciales por defecto. La explotación de esta vulnerabilidad puede permitir a un atacante modificar ficheros críticos que podrían permitir la creación de nuevos usuarios, borrar o modificar usuarios existentes, modificar ficheros de configuración, instalación de rootkits o backdoor.
  • CVE-2022-47559: falta de control del dispositivo sobre las peticiones web, permitiendo a un atacante crear peticiones personalizadas para ejecutar acciones maliciosas cuando un usuario está conectado, afectando a la disponibilidad, privacidad e integridad.
  • CVE-2022-47560: la falta de control de peticiones web en los dispositivos afectados, permite a un potencial atacante crear peticiones personalizadas para ejecutar acciones maliciosas cuando un usuario está logueado.
  • CVE-2022-47561: la aplicación web almacena credenciales en texto claro en el archivo "admin.xml", al que se puede acceder sin iniciar sesión en el sitio web, lo que podría permitir a un atacante obtener credenciales relacionadas con todos los usuarios, incluidos los usuarios administradores, en texto claro, y utilizarlas para ejecutar posteriormente acciones maliciosas.
  • CVE-2022-47562: vulnerabilidad en el servicio RCPbind que se ejecuta en el puerto UDP (111), lo que permite a un atacante remoto crear una condición de denegación de servicio (DoS).

Vulnerabilidad que afecta solo a ekorRCI:

  • CVE-2022-47556: consumo de recursos no controlado, permitiendo a un atacante con acceso al servidor web con privilegios bajos, enviar peticiones web legítimas continuas a una funcionalidad que no está validada correctamente, con el fin de provocar una denegación de servicio (DoS) en el dispositivo.
Listado de referencias
Ficha de producto: ekorCCP
Ficha de producto: ekorRCI
Etiquetas